Conjunto de Cifras utilizadas na conexão com o Ambiente e-Social

Conforme notícia publicada no portal e-Social em 29/12/2021, o conjunto de cifras utilizadas no estabelecimento de conexão com o ambiente e-Social será revisado, essas modificações visam remover algumas cifras antigas, substituindo-as por cifras mais atuais e seguras.

A implementação dessas modificações seguem o cronograma abaixo:

21/03/2022 no ambiente de produção restrita (homologação)

21/06/2022 no ambiente de produção

Link da notícia:

https://www.gov.br/esocial/pt-br/noticias/conjunto-de-cifras-utilizadas-no-estabelecimento-da-conexao-com-o-esocial-sera-revisado

Sistema Operacional

Para a aplicação deste artigo, é necessário verificar se o Sistema Operacional do ambiente onde se encontra o TSS é compatível com a versão 1.2 do protocolo TLS.

Links Úteis:

https://docs.microsoft.com/pt-br/mem/configmgr/core/plan-design/security/enable-tls-1-2

https://www.howtouselinux.com/post/ssl-vs-tls-and-how-to-check-tls-version-in-linux

Impactos da alteração no ecossistema ERP/TAF/TSS

Por se tratar da conexão entre o ambiente do empregador(client) e o ambiente do e-Social (servidor), essa alteração tem impacto direto e exclusivo no TSS, e no arquivo de configuração do appserver é necessário que as chaves correspondentes a versão 1.2 do TLS estejam habilitadas conforme exemplo abaixo:

appserver.ini TSS

[SSLConfigure]
SSL2=0
SSL3=1
TLS1_0=1
TLS1_1=1
TLS1_2=1
BUGS=1

As chaves TLS1_0,TLS1_1 e TLS1_2 correspondem a versão 1.2 do TLS, para melhor entendimento desta configuração acesse: https://tdn.engpro.totvs.com.br/display/tec/TLS1_2

A configuração do TLS 1.2 irá pertimitir o uso das cifras RSA e ECDH suportadas pelos servidores e-Social contidas nas tabelas abaixo:

Abbreviation	Cipher Suite	Protocol	Kx	Au	Enc	MAC
AES256-GCM-SHA384	TLS_RSA_WITH_AES_256_GCM_SHA384	TLS 1.2	RSA	RSA	AESGCM(256)	AEAD
AES256-SHA256	TLS_RSA_WITH_AES_256_CBC_SHA256	TLS 1.2	RSA	RSA	AES(256)	SHA
ECDHE-ECDSA-AES256-GCM-SHA384	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	TLS 1.2	ECDH	ECDSA	AESGCM256	AEAD
ECDHE-ECDSA-AES128-GCM-SHA256	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	TLS 1.2	ECDH	ECDSA	AESGCM128	AEAD
ECDHE-ECDSA-AES128-GCM-SHA256	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	TLS 1.2	ECDH	ECDSA	AESGCM128	AEAD

Fontes:

https://docs.fortinet.com/document/fortiadc/5.4.0/handbook/111030/ssl-tls-versions-and-cipher-suites

https://www.openssl.org/docs/man1.1.1/man1/ciphers.html

Exemplo de Falha:

O log abaixo refere-se a um ambiente com somente a versão 1.1 do protocolo SSL ativado no appserver do TSS:

Exemplo de Erros

2022-04-11T15:27:37.111000-03:00 3564|
[ERROR][SSL] SSL error 5 [SSL_ERROR_SYSCALL] after calling SSL_connect in line 2424
2022-04-11T15:27:37.112000-03:00 3564|
[INFO ][SSL] ok, SSL connection closed in first shutdown SSL reported status 1
2022-04-11T15:27:37.112000-03:00 3564|

2022-04-11T15:27:37.122000-03:00 3564|
[ERROR][SSL] [tSSLSocketAPI][RegisterCertificateToUse] Error in primary key usage.

2022-04-11T15:27:37.125000-03:00 3564|
[ERROR][SSL] [tSSLSocketAPI][RegisterCertificateToUse] Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch 

2022-04-11T15:27:37.126000-03:00 3564|
[ERROR][SSL] Failed to initialize Context SSL.

2022-04-11T15:27:37.141000-03:00 3564|-------------------------------------------------------------------------------

WSCERR044 / Nao foi possivel POST : URL https://webservices.producaorestrita.esocial.gov.br/servicos/empregador/enviarloteeventos/WsEnviarLoteEventos.svc ( -1 : UNKNOW ERROR (WIN) )

ADVPL WSDL Client 1.120703 / TOTVS  MSSQL Sped on 20220411 15:27:37

Pacotes de Atualização

Por Default, as instalações do TSS realizadas através do instalador do TAF já vem com o protocolo TLS 1.2 habilitado.

Árvore de páginas

Conjunto de Cifras utilizadas na conexão com o Ambiente e-Social

Impactos da alteração no ecossistema ERP/TAF/TSS

Exemplo de Falha: