Perguntas frequentes: segurança

Como posso saber se meus aplicativos suportam TLS 1.2?

Aplicativos cujas linguagens de programação subjacentes ou bibliotecas de segurança são anteriores ao TLS 1.2 podem precisar de atualização para uma versão mais recente a fim de suportar o TLS 1.2. Talvez você também precise atualizar o sistema operacional do host do aplicativo para oferecer suporte ao TLS 2.

O MongoDB e o Atlas não fornecem serviços para auditar aplicativos externos quanto às versões de suporte do TLS que eles utilizam. Serviços de terceiros, como howsmyssl.com, podem fornecer as ferramentas apropriadas. O MongoDB não endossa este serviço e sua referência é apenas informativa. Use os procedimentos da sua organização para selecionar o fornecedor ou serviço para auditoria dos aplicativos.

O que devo fazer para atualizar meus clusters para TLS 1.2?

• Realize uma auditoria de seus aplicativos para suporte ao TLS 1.2.

• Atualize todos os componentes da sua pilha de tecnologia que não são compatíveis com TLS 1.2.

• Modifique sua configuração de cluster para utilizar o TLS 1.2.

Posso forçar a ativação do TLS 1.0?

O Atlas permite que você configure manualmente o TLS 1.0 durante a modificação do cluster.

Habilitar o TLS 1.0 para qualquer cluster do Atlas acarreta riscos significativos. Considere habilitar o TLS 1.0 somente pelo tempo necessário para atualizar sua pilha de aplicativos para oferecer suporte ao TLS 1.2.

Autoridade de Certificação Codificada

Não recomendamos a codificação ou a fixação de certificados intermediários porque introduz um ônus operacional e um risco de disponibilidade. Se o Let's Encryption alternar ou substituir seu certificado fixado, seu aplicação poderá não conseguir se conectar, o que resultará em uma interrupção.

Se você precisar fixar um certificado, fixe-o na Autoridade de Certificação raiz do Let's Encrypt (ISRG Root X1) e não a qualquer certificado intermediário.

Usuários do Java

O novo certificado raiz ISRG do Let's Encrypt não está presente no armazém confiável padrão do Java versão 7 antes da atualização 7u151, ou do Java versão 8 antes da atualização 8u141. Use uma versão Java lançada após 18 de julho de 2017.

Verifique se o software Java do consumidor está atualizado. Use as versões mais recentes do Java para utilizar muitos aprimoramentos além desses novos requisitos da autoridade de certificação para nossos certificados TLS.

Se você tiver seu próprio armazenamento de confiança, adicione o certificado Vamos Criptografar a ele. Para saber mais, consulte Autoridade de Certificação com Código Rígido.

Usuários do Windows Server

A Autoridade de Certificação raiz X ISRG1 não está incluída por padrão no Windows Servidor MongoDB, mas está disponível no Microsoft Programa Raiz Confiável da .

Para configurar o Windows Server para baixar certificados raiz confiáveis, incluindo o novo certificado raiz ISRG do Let's Encrypt, consulte a Documentação do Windows.

Usuários AMI do Amazon Linux

AMI do Amazon Linux não é compatível com a nova1 Autoridade de Certificação raiz X ISRG.

Se você estiver usando o Amazon Linux AMI, migre para o Amazon Linux 2. Após 30 de setembro de 2021, o suporte de certificados ISRG Root X1 é obrigatório para o Atlas para evitar problemas de compatibilidade de certificados.

Para continuar usando o Amazon Linux AMI após 30 de setembro de 2021, instale manualmente a nova Autoridade de Certificação raiz ISRG Root X1.

Todos os Outros

Essa alteração não deve afetar você se você usar uma linguagem de programação e uma versão do sistema operacional recentes.