Testare le cifrature SSL/TLS del client supportate

TLS utilizza cifrature per crittografare e proteggere la comunicazione tra un client e un server. Nel corso del tempo, sono state create nuove cipher suite per migliorare la crittografia, mentre le suite più vecchie sono state ritenute deboli e non più raccomandate.

Il server ricevente decide quale cipher suite utilizzare per la connessione TLS in base a un elenco di cifrature supportate inviato dal client e al proprio elenco. Il server sceglierà la prima cifratura del suo elenco (in ordine di configurazione) che si trova anche nell'elenco del client. Se non viene trovata alcuna corrispondenza tra i due elenchi, non è possibile stabilire una connessione TLS.

Un elenco delle cifrature supportate è disponibile qui:
Salesforce Services and Marketing Cloud supported TLS 1.2 Cipher Suites (Cipher suite TLS 1.2 supportate dai servizi Salesforce e da Marketing Cloud)
Supported Cipher and TLS versions for Government Cloud (Versioni di cifrature e TLS supportate per Government Cloud)

Controllo del browser

I browser moderni supportano tutte le cipher suite sicure e raccomandate e anche alcune cipher suite deboli per la compatibilità con il passato. I fornitori di browser gestiscono le cipher suite utilizzabili tramite gli aggiornamenti del browser.

Se un determinato browser mostra di utilizzare una cifratura che non sarà supportata, contattare l'ufficio IT che gestisce il dispositivo su cui risiede il browser.

Test del browser

I siti web di terze parti possono essere utilizzati per segnalare le cipher suite supportate da un browser locale in base alle informazioni scambiate quando viene stabilita la connessione.

Test del browser Qualys SSL Labs (cercare la sezione "Cipher Suites").

Chrome

Procedere come segue per vedere quale cifratura viene effettivamente utilizzata per una connessione con il browser Chrome.

Avviare Chrome
Immettere un URL per il sito
Fare clic sull'ellissi (tre puntini) in alto a destra
Selezionare Altri strumenti > Strumenti per sviluppatori > scheda Sicurezza
Esaminare la sezione Connessione

Firefox

Procedere come segue per vedere quale cifratura viene effettivamente utilizzata per una connessione con il browser Firefox.

Avviare Firefox
Immettere un URL per il sito
Fare clic sull'icona "lucchetto" a sinistra dell'URL
Fare clic su "Ulteriori informazioni"
Selezionare la scheda "Sicurezza"
Esaminare la sezione Dettagli tecnici

Chiamate API

Le cifrature utilizzate durante le chiamate API dipendono dallo strumento utilizzato per effettuare tali chiamate (ad es. cURL utilizza il toolkit OpenSSL). I seguenti comandi possono essere utilizzati per verificare se una chiamata API viene effettuata da un determinato host utilizzando una cifratura specifica. Nota: questo test verifica solo che la cifratura specificata nel comando funzioni. Lo strumento API che effettua la chiamata dovrà comunque essere controllato per assicurarsi che supporti la cifratura in questione.

Se i test falliscono, contattare l'ufficio IT che gestisce il dispositivo o il team di sviluppatori che gestisce il codice che effettua la chiamata API per identificare il problema.

Openssl

Esempio di comando di connessione riuscita

Il seguente esempio di test restituisce una connessione riuscita, poiché Salesforce supporta la suite. L'output saranno diversi dettagli sulla connessione, compresa la cifratura TSL/SSL.

openssl s_client -connect na202.salesforce.com:443 -cipher ECDHE-RSA-AES128-GCM-SHA256

Esempio di comando di connessione non riuscita

Il seguente esempio di test restituisce una connessione non riuscita, poiché Salesforce non supporta la suite. L'output sarà un errore del tipo "no cipher match" (nessuna corrispondenza di cifratura) o "sslv3 alert handshake failure" (avviso sslv3 errore handshake).

openssl s_client -connect na202.salesforce.com:443 -cipher PSK-AES128-CBC-SHA openssl s_client -connect na202.salesforce.com:443 -cipher ECDHE-ECDSA-AES128-GCM-SHA256