Conjunto de cifras utilizadas no estabelecimento da conexão com o eSocial será revisado
Com o objetivo de aprimorar a segurança no serviço do eSocial, será aplicada uma revisão das cifras utilizadas nos seus servidores. As cifras são algoritmos usados para criptografar dados[1].
Os usuários dos módulos WEB do eSocial com navegadores atualizados já utilizam as cifras mais seguras e não serão impactados pela mudança.
Os desenvolvedores de software e usuários do ambiente Web Service do eSocial devem observar as orientações abaixo:
A revisão consiste em remover cifras utilizadas pelos servidores, de modo a serem mantidas apenas as cifras listadas abaixo, a fim de garantir um maior nível de segurança ao eSocial. Cifras diferentes deverão ser removidas.
Após o procedimento, o sistema passará a aceitar as comunicações somente com TLSv1.2 utilizando as cifras abaixo.
RSA_WITH_AES_128_GCM_SHA256
RSA_WITH_AES_256_GCM_SHA384
ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE_RSA_WITH_AES_256_GCM_SHA384
A implantação do conjunto de cifras com TLSv1.2 acima indicadas no ambiente de produção do eSocial importará na retirada dos protocolos TLSv1.0, e TLS 1.1 seguindo o cronograma abaixo:
24/06/2024: Eliminar o protocolo TLSv1.0
24/07/2024: Eliminar as cifras CBC
26/08/2024: Eliminar o protocolo TLSv1.1
Como testar se o sistema está preparado para as novas configurações de cifras do eSocial:
O ambiente de produção restrita do eSocial já está adaptado às cifras de segurança com TLSv1.2. Portanto, caso o usuário queira verificar se o sistema operacional, hardware ou software utilizados na transmissão de eventos ao eSocial estão preparados para as novas cifras de segurança, basta transmitir algum evento ao ambiente de produção restrita do eSocial. Caso a transmissão do evento ocorra com sucesso, os seus sistemas estão adaptados às cifras de segurança com TLSv1.2.
Atenção: no dia 23/04/2024 o Manual de Orientação do Desenvolvedor foi alterado com importante “Atualização da seção Padrão de Cifras”. O tópico “6.5 Padrão de Cifras” do manual passou a orientar que o eSocial estará configurado para trabalhar a partir do dia 24/06/2024 com as Cifras acima na versão TLSv1.2, seguindo o cronograma indicado.
Informações complementares referentes a possível erro na tentativa de conexão após a implantação das cifras com TLSv1.2
Caso o usuário tente realizar a conexão para o envio de eventos e receba como resposta o erro abaixo, provavelmente estará se comunicando usando uma versão de TLS ou Cifra não suportado:
“A conexão com o servidor foi redefinida ou encerrada, ou um protocolo SSL incompatível foi encontrado” ou “Could Not Establish Trust Relationship for the SSL/TLS Secure Channel with Authority” (ou outra mensagem que contenha as palavras-chave “SSL”, “SSL/TLS”, “handshake” ou “conexão segura”).
Nesse caso, para que seja possível se conectar, haverá a necessidade de um Sistema Operacional (SO) compatível com a versão TLSv1.2 conforme detalhado abaixo.
1. Sobre o Sistema Operacional
1.1. Microsoft Windows: O TLSv1.2 é suportado em versões mais recentes do Windows, incluindo Windows 7, Windows 8, Windows 10 e suas versões correspondentes para servidores.
1.2. Linux: A maioria das distribuições Linux modernas suporta o TLSv1.2, incluindo distribuições populares como Ubuntu, CentOS, Red Hat, Debian e outras.
1.3. macOS: O TLSv1.2 é suportado em versões recentes do macOS (anteriormente OS X), como macOS 10.9 Mavericks e posteriores.
1.4. iOS: O iOS suporta o TLSv1.2 em suas versões mais recentes.
2. Sobre o Software utilizado
Também é necessário avaliar o software usado para o envio das informações ao eSocial. Em alguns casos, o desenvolvimento pode ter codificado o sistema para acionar um TLS específico, não direcionando para o caminho padrão. Se isso ocorrer, é importante acionar o fornecedor do software para as devidas correções.
[1] Antes de uma conexão segura ser estabelecida, o protocolo e a cifra são negociados entre o servidor do eSocial e o servidor que enviará dados ao eSocial, com base na disponibilidade de cifras em ambos os lados. (Fonte: https://docs.microsoft.com/pt-br/power-platform/admin/server-cipher-tls-requirements)