Info général pour la communication B2B Webservices

À partir du 1er septembre 2020 au plus tard, de nouveaux certificats seront utilisés dans les applications de MINFIN comme MASP-PLDA.
  • Pour PLDA-TEST,  les nouveau certificats ont déjà été modifiés.
  • Pour PLDA-PROD, ce changement aura lieu le 31 août entre 14h et 15h.
Dès que le certificat aura été installé, vous devrez (faire) changer (par vos spécialistes informatiques, responsables de la communication informatique ou fournisseur de logiciels) ces certificats sur votre infrastructure ICT.
Attaché à ce courrier en format zip vous trouverez  des fichiers pour les environnements TEST et les environnements PROD. Ceux-ci fonctionnent pour les services Web SPF-FIN, y compris l’application PLDA. Lesdits fichiers  contiennent pour chaque environnement la « certificate-chain » ainsi que les certificats de MINFIN.
Vous pouvez trouver ces certificats et la chaîne de certificats sur https://ccff02.minfin.fgov.be/publicCertificates/

Remarques:

  • Communication envoyée par email le 21/08/2020
  • Aucune procédure d'urgence


Notre société est inconcevable sans la communication électronique. Pour garantir la sécurité de cette communication, certaines interventions sont nécessaires sur nos serveurs web. Ces interventions auront lieu au niveau de la couche Transport Security de la communication des données.

Jusqu’à ce jour, différentes versions du protocol TLS qui ont été supportées : v1.0, v1.1 et v1.2.

Les versions v1.0 et v1.1 ne sont plus considérées  comme sécurisées au niveau international, et le support de nos serveurs web sera interrompu dès le 30 mars 2020. Dans le protocol TLS des différents algorithmes de cryptages sont soutenus. Il y a aussi ici quelques algorithmes qui ne sont plus considérés comme sécurisés.

Quelles modifications sur nos serveurs web ?

Dans un proche avenir, çàd dès le 30 mars 2020, il n’y aura que le support de TLS v1.2 sur nos serveurs web. Seuls les algorithmes de cryptages suivants seront supportés : ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:DHE-DSS-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA

Quand ?

Les modifications sont déjà introduites dans l’environnement d’acceptance (ccff-test1.minfin.be en ccff-test2.minfin.be)

Dès le 30 mars 2020 les modifications seront aussi introduites dans l’environnement de production (ccff02.minfin.fgov.be).

Que faire ?

Si vous utilisez Java 8 (ou plus élevé) pour votre application, il y a un support d’office pour TLS v1.2 et vous ne devez probablement rien faire.

Si vous utilisez Java 6 ou Java 7, TLS v1.2 est supporté mais le support n’est pas activé d’office. L’activation se fait démarrant Java Virtual Machine (JVM) avec l’option "-Dhttps.protocols=TLSv1.2”

Si vous utilisez une version antérieure, vous devrez faire une mise à jour vers une des versions susmentionnées.

Pour les clients .NET et d’autres plateformes, nous vous renvoyons à l’information disponible sur l’internet. Ce sera comparable à l’information Java.

Attention ! Si vous êtes dans la possibilité d’envoyer des messages vers notre environnement test, vous devrez uniquement vérifier si votre environnement de production a la même configuration.

Pour savoir si votre software a le bon support pour les versions TLS adéquates et les algorithmes de cryptages, il convient que vous vous adressiez à votre fournisseur de logiciels, l’administrateur système ou fournisseur de progiciel. Pour de plus amples informations sur TLS et les algorithmes de cryptages, vous pouvez vous adresser auprès de l’administrateur de votre serveur-web ou votre spécialiste de sécurité.