A partire dal 30 settembre 2019, il servizio di Posta Elettronica Certificata (PEC) di Aruba subirà degli importanti cambiamenti a livello di configurazione per adeguarsi alle nuove richieste effettuate dall’Agenzia per l’Italia Digitale (AgID) (prot. N. 0004723 del 02/04/2019 e prot. N. 0008952 del 27/06/2019),
La comunicazione da parte di Aruba PEC è stata la seguente:

Gentile utente,
nel rispetto di quanto richiesto dall’Agenzia per l’Italia Digitale (AgID) ai Gestori PEC (prot. N. 0004723 del 02/04/2019 e prot. N. 0008952 del 27/06/2019), ti comunichiamo che abbiamo recentemente attivato sul servizio di posta elettronica certificata il nuovo protocollo di trasmissione sicura “TLS 1.2” e che dal 30/09/2019 dismetteremo in modo definitivo gli altri protocolli, ormai obsoleti.

dismissione protocolli deprecati aruba pec

Cosa bisogna fare per assicurarsi che il proprio sistema continui a ricevere le PEC anche successivamente al 30/09/2019?
Vediamolo insieme.

Occorre assicurarsi che il sistema operativo e il client di posta dei dispositivi che utilizzate per inviare e ricevere le PEC (e relative versioni) siano presenti tra quelli elencati nella comunicazione di Aruba, ovvero:

Sistemi Operativi e browser

  • Android (4.4.2) | Tutti i browser
  • Apple iOS | Tutti i browser
  • Windows Phone (8.1) | Internet Explorer (11)
  • OSX (10.9) | Safari (7.x), Chrome (34.x), Firefox (29.x)
  • Windows XP (SP3) | Chrome (49.x), Firefox (49.x)
  • Windows 7 | Chrome (30.x), Firefox (31.3.0 ESR/45.x), Internet Explorer (11), Opera (17.x)
  • Windows 8.0 | Firefox (27)
  • Windows 8.1 | Internet Explorer (11)
  • Windows 10 | Tutti i browser

Client di posta e piattaforma

  • Mail | iOS (11.x)
  • Mail | Android (5.x)
  • Apple Mail | OSX (10.12 Sierra)
  • Outlook (2003) | Tutti i sistemi operativi
  • Outlook 2011 (2011) | MAC OSX (Solo sulle versioni 10.11 – 10.13)
  • Thunderbird (45.6) | Tutti i sistemi operativi

Si tratta di sistemi e software già presenti e disponibili sul mercato da molti anni e che probabilmente già utilizzate. Se rientrate nell'esiguo numero di utenti che non utilizzano questi sitemi e software, sarà necessario un aggiornamento della vostra infrastruttura IT o del vostro dispositivo.

E per chi ha sviluppato integrazioni software con i servizi PEC?

In questo caso, Aruba consiglia l’adozione dei seguenti framework sicuri:

  • Java (8b132)
  • Open SSL (1.0.1h)
  • .NET Framework (4.6)

Tutte le informazioni contenute nella e-mail, insieme ad altri approfondimenti relativi al protocollo TLS 1.2 e ai singoli sistemi operativi e/o clienti di posta, sono disponibili nella guida online a disposizione sul sito ufficiale di Aruba.

Vuoi saperne di più? Hai bisogno di assistenza? Contattaci subito!

 

 

Approfondimento: perchè questa comunicazione

Agenzia per l’Italia Digitale

L’Agenzia per l’Italia Digitale è l’agenzia tecnica della Presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi dell’agenda digitale italiana e contribuire alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione, favorendo l’innovazione e la crescita economica.
Tra i principali compiti dell’AgID c’è, ovviamente, la definizione dei protocolli e delle misure minime di sicurezza ICT per le pubbliche amministrazioni, nonché per tutti i provider di servizi aventi valore legale: è il caso dunque anche dei provider autorizzati a mettere a disposizione dei propri utenti caselle di Posta Elettronica Certificata, le cui proprietà di sicurezza e certificazione sono state disciplinate nel D.P.R. n. 68 dell’11 febbraio 2005 e nei documenti tecnici collegati, dove sono elencate le regole tecniche per la corretta formazione e trasmissione della stessa e ulteriormente ribaditi, in tempi recenti, dalle Sezioni Unite della Suprema Corte (decisione n. 23620 del 28 settembre 2018).

Nel caso specifico, ad Aruba – così come tutti gli altri provider di servizi PEC – è stato chiesto di adeguarsi alle nuove richieste effettuate dall’AgID nel 2019 (prot. N. 0004723 del 02/04/2019 e prot. N. 0008952 del 27/06/2019) per incrementare i livelli di sicurezza delle trasmissioni di messaggi di Posta Elettronica Certificata. Le richieste, dal punto di vista della configurazione del servizio, si riassumono in due punti fondamentali:

  1. Adozione del protocollo di sicurezza Transport Layer Security (TLS) versione 1.2 (o superiore, se supportato dal client) per tutte le connessioni.
  2. Dismissione dei protocolli di sicurezza TLS 1.0, TLS 1.1 e SSL 3.0, che non dovranno più essere accettati o supportati.

Perché è importante adeguarsi

Le motivazioni alla base di tale richiesta sono tanto semplici da comprendere quanto necessarie: i protocolli di cui è stata richiesta la dismissione sono infatti stati classificati come non più sicuri e dunque obsoleti già da molti anni a seguito della scoperta di una serie di importanti vulnerabilità, tra cui:

  • BEAST (acronimo di “Browser Exploit Against SSL/TLS“), un attacco basato su una vulnerabilità dell’algoritmo di cifratura (CBC) utilizzato da TLS 1.0 (settembre 2011).
  • Heartbleed, un bug di sicurezza nella libreria di crittografia OpenSSL (dalla versione 1.0.1 alla 1.0.1f inclusa), utilizzata in molte implementazioni del protocollo TLS (aprile 2014)
  • POODLE (acronimo di “Padding Oracle On Downgraded Legacy Encryption“), un attacco di tipo man-in-the-middle basato su una vulnerabilità del protocollo SSL 3.0 (CVE-2014-3566) e di dominio pubblico nell’ottobre 2014.

Come si può vedere si tratta di vulnerabilità tutt’altro che recenti, che in alcuni casi (Heartbleed e POODLE) ebbero anche una discreta copertura mediatica: la richiesta di AgID è dunque perfettamente ragionevole.

(Fonte: ryadel.com)