Za početak, don't shoot the messenger - imam gadne vijesti.
Promjene koje spremaju Apis i PU: svi vi koji imate softver na XP, Vista i Windows Server 2008 (non R2), promjenama na SSL i TLS slojevima, aplikacije koje koriste fiskalizaciju će prestati fiskalizirati račune. Ovo je definitivno i sigurno.
Vezano uz
temu gdje se spominje promjena na transportnom sloju SSL/TLS od strane PU, a na njihovim
stranicama, uputili smo dopis Apisu, na kojeg smo dobili zabrinjavajući odgovor. Njihov Email prenosim u cjelosti:
Poštovani,
Trenutno su na sustavu Fiskalizacije, uz SSL v3, podržane sve verzije TLS protokola, što znači i TLS v1.1/1.2, ne samo spomenuta verzija 1.0. Kao što smo naveli, tijekom 2016. godine implementirat će se promjena kad će sustav podržavati samo TLS v1.1/1.2, prvenstveno iz sigurnosnih razloga. Kao što znate, Microsoft kao proizvođač softvera više ne podržava operacijske sustave Windows XP i Windows Vista te je većina pružatelja važnih elektroničkih usluga, primjerice banaka, odustala od podrške za klijente s navedenim operacijskim sustavima.
Tako je i National Institute of Standards and Technology u svom dokumentu iz travnja 2014. (Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations) objavio za državi važne servise preporuku:
„ TLS version 1.1 is required, at a minimum, in order to mitigate various attacks on version 1.0 of the TLS protocol. Support for TLS version 1.2 is strongly recommended. “
Svjesni velikog broja korisnika koji koriste predmetne protokole, odnosno OS-ove, pravovremeno smo zatražili od Porezne uprave najavu predmetne promjene. U prvom će se koraku promjena implementirati na testnoj okolini kako bi proizvođači softvera stigli prilagoditi klijentski softver i testirati rad svojih rješenja. Nažalost, stalni razvoj novih sigurnosnih prijetnji nužno dovodi do toga da se informacijski sustavi moraju prilagođavati kako bi osigurali primjerenu razinu sigurnosti svojih krajnjih korisnika, kao i centralnog sustava.
Dakle, kratki odgovor na vaše pitanje je da će u budućnosti na sustavu Fiskalizacije biti podržani samo protokoli TLS v1.1 i TLS v1.2.
Što ovo znači za nas, developere?
Za sada, CIS serveri podržavaju sve protokole, a kako navodi Apis, uključujući SSLv3, TLS1.0, TLS1.1 i TLS1.2.
Tijekom 2016. godine, podrška za SVE protokole, osim TLS1.1 i TLS1.2 će biti ukinuta.
.net Framework 2.0 (u kojem je trenutna verzija dll-a fiskalizacije) podržava najviše TLS1.0. Da bi se uključila podrška za TLS1.1 i TLS1.2, potrebno je cijeli DLL rebuildati u .net Framework 4.5.
Eh, sada, Windows XP, Windows Vista te Windows Server 2008 (NON R2) ne podržavaju Framework 4.5 i ne postoji ikakva šansa da će u budućnosti podržati.
Nadalje, kako navodi Microsoft na svojem MSDN
blogu, vidi se da ovi OS-ovi, u globalu, niti ne podržavaju ništa iznad TLS1.0
Dobro je to što će, prije nego ukinu SSL i TLS1.0 na produkciji, to isto napraviti i na testnom okruženju pa ćemo barem imati vremena istestirati sve. Dakle, pripremite svoje korisnike, pripremite vaše aplikacije za Windows 7 i novije, a mi smo već počeli raditi na tome da nadogradimo DLL za rad na 4.5 i s podrškom za TLS1.1 i TLS1.2.
Nadam se da nisam nekome previše pokvario dan :)
