TLS 1.2及Entrust证书 - FTP更新（2018年10月29日）

概述：

Medidata即将继续更新系统中称为传输层安全性(TLS)和SSL证书颁发机构的安全协议。我们已完成对除FTP外的所有Medidata Web服务的更新。

我们将对HDC(Houston Data Center)和FRA(Frankfurt Data Center)的FTP服务器应用相同的经过更新的TLS。不过，Global Sign仍将会是FRA的证书颁发机构。

会发生哪些变化？

• FTP04上的所有FTP服务都必须于2018年12月1日之前迁移到FTP01。
  • 此举的目的是为了停用不支持的软件和易受攻击的TLS协议。新的FTP01服务器仅支持TLS 1.2，且不再支持3DES等弱加密算法。
  • 请联系您的PM了解迁移详细信息。

所有更新都将于正常维护期内执行，即美国中部夏令时间晚上6点到10点。

这对用户将有何影响？

• 通过HDC/FRA的FTP服务器进行文件上传/下载

已发生哪些步骤？

• FRA FTP服务（ftp07和ftp08）的SSL证书将于2018年7月21日续延为Global Sign证书。- 已完成
• 休斯敦数据中心(HDC) FTP服务（ftp01、ftp02和ftp03）的SSL证书将于2018年9月15日过渡为Entrust Datacard证书，即Entrust Datacard将成为我们在HDC的证书颁发机构/提供商。- 已完成
• 针对HDC的所有FTP服务，支持的TLS协议将于2018年9月29日起限定为1.2版。- 已完成
• 自2018年9月29日起，将在HDC禁用弱密码套件（即小于128位的密码套件），例如3DES（其被视为112位）。- 已完成
• 针对FRA的所有FTP服务（ftp07和ftp08），支持的TLS协议将于2018年10月27日起限定为1.2版。- 已完成
• 自2018年10月27日起，将在FRA禁用弱密码套件（即小于128位的密码套件），例如3DES（其被视为112位）。- 已完成

测试

创建了一个FTP服务器，用于验证与TLS 1.2及Entrust根证书的兼容性。该测试实例既不包含测试数据，也无法成功响应批命令。能够与FTP服务建立HTTPS (TLS)连接，即表示测试成功。

• FTP主机名：ftp06.ftp.mdsol.com
• 提供的凭证仅用于测试FTP连接性
• 用户名：cs_verify
• 密码：7^7J23a3
• Medidata仅支持FTP/s (FTP over SSL)
• 仅支持TLS 1.2协议
• 已加载新的Entrust证书
• FTP客户端必须支持TLS 1.2并已加载Entrust Datacard根存储证书。
• FTP客户端必须支持以下密码套件之一：

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_256_CBC_SHA256

鉴于某些情况，根存储可能不会更新：

• FTP客户端太旧或未定期更新。大多数主要浏览器和FTP软件（包括不支持的版本在内）都支持Entrust，因此这应该不算什么问题。
• 修复方法是更新浏览器软件或更新集成软件中的根存储。可下载Entrust证书链（请参见以下链接）。
  • 根证书
  • 交叉证书

常见问题：

问：什么是TLS 1.2？

答：TLS协议（即SSL）用于终止针对Web服务的安全浏览器和API集成。自2018年6月起，Medidata Clinical Cloud平台不再支持版本1.0和1.1或TLS协议。Rave、RaveX和iMedidata平台的所有Web服务（包括FTP over SSL）及其他插件都会受到影响。

根据行业标准，TLS版本1.0不再安全，它包含例如Beast和TLS Poodle等已知的漏洞。主要供应商（例如Microsoft、Google和Salesforce）及安全框架（例如PCI和NIST）计划于2018年弃用此协议。

自引入TLS版本1.2后，版本1.1便很少再使用，因为v1.0和v1.1之间的安全差异和价值相差无几。

问：什么是Entrust证书？

答：使用TLS加密协议来为Web服务访问提供安全保障的SSL证书。Medidata的主要证书颁发机构将从GoDaddy过渡到Entrust Datacard，这是我们证书续订举措的一部分。GlobalSign将继续充当我们在欧盟的证书颁发机构。

浏览器、FTP客户端和集成(API)软件依赖根存储来初始化使用TLS (SSL)的安全通信。这些根存储包含Entrust和GoDaddy等主要证书颁发机构的根证书。如果未定期更新这些根存储，那么假如未加载来自Entrust的根证书的话，客户便会发生连接错误。通常而言，这是由软件供应商自动进行更新的。

问：TLS和证书更新会影响哪些Medidata系统？

答：该更新会影响通过HTTPS使用Web服务的所有系统。其中包括浏览器、FTP客户端，以及与RWS、iMedidata、EDI的系统集成等。

问：怎样才算测试成功？

答：该更新会影响通过HTTPS使用Web服务的所有系统。其中包括浏览器、FTP客户端，以及与RWS、iMedidata、EDI的系统集成等。

已在测试文件夹中创建一个名为Test_README的文件，用于下载验证。不过，此步骤并非必要步骤。不允许上传。

问：Medidata可以通过创建包含测试数据的测试FTP站点来完成端到端FTP测试吗？

答：创建测试FTP实例的宗旨在于尽量精简测试，因此不能用测试数据来填充该实例。我们不会更改任何系统的应用程序体系结构。TLS基础架构独立于应用程序系统。因此，客户仅需测试连接是否成功。应用程序/数据体系结构不会受到任何风险。

问：客户必须禁用旧版TLS吗？

答：不，就客户而言并非如此。客户仅需支持TLS 1.2即可，无需禁用软件中的较旧版本。建议客户不要再兼容其他旧版非Medidata系统。

问：客户可以获取有关TLS连接的详细信息吗？

答：鉴于加密会话和FTP体系结构的性质，我们无法提供详细的日志信息。

执行上述步骤应该能解决您的问题。如果问题仍未解决，请致电我们的咨询服务台。

提示：为了给您提供更优质的产品，我们始终在坚持不懈地改进产品，因此，建议您“关注”本文，以便能在我们发布新解决方案时收到提醒电子邮件。

感谢您使用Medidata客户成功中心！