Skip to main content

Lista de permissões para validação de pares

A Alteryx adicionou verificações de segurança para a funcionalidade relacionada à abertura de conexões TLS ou SSL, como conexões com URLs https:// que usam cURL e OpenSSL. Você pode ajustar as verificações de segurança com a configuração "Validação de pares".

É necessário que a conexão com um serviço esteja protegida por TLS e que o servidor conectado forneça um certificado válido e confiável assinado por uma autoridade de certificação (CA). A validação deve percorrer toda a cadeia de CAs até o certificado raiz e validar os certificados em relação à lista de autoridades de certificação confiáveis do Microsoft Windows Certificate Stores. No momento, não há suporte para Linux.

  • Esse recurso foi inicialmente habilitado nas versões 2022.1+ do Designer-FIPS e 2022.2 do Server-FIPS e não pode ser desabilitado.

  • A "Validação de pares" agora também está habilitada para as versões 2022.3+ não-FIPS.

Configurar lista de permissões para "Validação de pares"

Sabemos que alguns administradores e usuários podem encontrar problemas com essa alteração, especialmente com fluxos de trabalho ou ambientes do Server existentes que utilizam conexões inseguras ou conexões TLS que usam certificados autoassinados, inválidos ou não confiáveis.

Para contornar esses problemas e continuar a usar conexões inseguras ou conexões TLS que usam certificados que falham na validação, é necessário adicionar uma exceção à "Lista de permissões".

  • A "Lista de permissões" contém entradas de sites de URL que normalmente falham com a "Validação de pares" habilitada.

  • Adicione exceções de URL ao arquivo de texto chamado PeerValidationBypass.txt.

  • O arquivo deve ser colocado em C:\ProgramData\Alteryx\PeerValidationBypass.txt.

  • Se o arquivo não existir, a "Validação de pares" será ativada por padrão. No entanto, observe que a existência do arquivo não desativa a "Validação de pares". Isso permite que o Designer e o Server ignorem a "Validação de pares" ao se conectar aos sites específicos listados no arquivo.

Requisitos do PeerValidationBypass.txt

As entradas no arquivo PeerValidationBypass.txt devem seguir algumas regras:

  • Uma entrada de FQDN (nome de domínio totalmente qualificado) por linha.

  • Insira apenas o nome de domínio ou o endereço IP.

  • Remova o protocol:// do início do URL.

  • Remova qualquer caminho, consulta e senha do URL.

  • Não deixe linhas em branco entre as entradas.

Usar caracteres curinga

Você pode configurar o PeerValidationBypass.txt com FQDNs e endereços IPv4 que contêm caracteres curinga.

Um nome de domínio é uma estrutura simples feita de vários campos, separados por pontos e lidos da direita para a esquerda. Um exemplo de nome de domínio é help.alteryx.com, no qual…

  • O Domínio de Topo (TLD, Top-Level Domain) é com.

  • Os rótulos seguem o TLD. alteryx é o rótulo 1 e help é o rótulo 2.

    • Um rótulo é uma sequência de caracteres sem distinção de maiúsculas e minúsculas em qualquer lugar, de 1 a 63 caracteres de comprimento.

    • Ele contém apenas as letras de A a Z, os dígitos de 0 a 9 e o caractere hífen (-) (que não pode ser o primeiro nem o último caractere no rótulo).

  • O rótulo localizado imediatamente antes do TLD também é chamado de Domínio de nível secundário (SLD, Secondary Level Domain), que, no exemplo acima, é Alteryx.

    Nota

    Um nome de domínio pode consistir apenas em um campo, ou em dois, três ou mais de três campos. Um nome de domínio totalmente qualificado (FQDN) é sempre rotulado no formato:

    hostname.SLD.TLD

Quando PeerValidationBypass.txt é analisado para determinar se o certificado TLS de um ponto de extremidade específico deve ser validado, o analisador interpreta os caracteres curinga da seguinte maneira:

  • Um caractere de asterisco (*) corresponde a 0 ou mais caracteres de rótulo válidos.

  • Um caractere de ponto de interrogação (?) corresponde exatamente a 1 caractere de rótulo válido.

Detalhes da entrada de nome de domínio

Para uma entrada de nome de domínio…

  • Se o TLD for um TLD de código de país, caracteres curinga não serão permitidos nos três últimos campos. A correspondência de caracteres curinga é realizada no rótulo 3 e posteriores.

  • Se o TLD não for um TLD de código de país, caracteres curinga não serão permitidos nos dois últimos campos. A correspondência de caracteres curinga é realizada no rótulo 2 e posteriores.

Exemplo de entradas de nome de domínio inválidas

???.*.com.fr, alteryx*.help.n?t, alteryx.*.net e hello.world.example*.???

Detalhes da entrada de endereço IPv4

Para uma entrada de endereço IPv4…

  • Caracteres curinga não são permitidos nos dois primeiros campos.

  • A correspondência com caracteres curinga é realizada nos dois últimos campos.

Exemplo de entradas IPv4 inválidas

192.*.*.23, ???.*.123.234 e *.10.100.200

Exemplo de entradas

Exemplo 1

Por exemplo, a "Validação de pares" bloqueia este URL:

https://ThisIsATest.com/?category.id=External

No arquivo PeerValidationBypass.txt, digite o seguinte:

ThisIsATest.com

Exemplo 2

Suponha que você queira bloquear esses URLs com um padrão semelhante:

  • https://example.ThisIsATest.com/?category.id=External

  • https://warning.ThisIsATest.com/?category.id=External

  • https://info.ThisIsATest.com/?category.id=External

No arquivo PeerValidationBypass.txt, você pode bloquear todos os três com uma única entrada, usando um caractere curinga:

*.ThisIsATest.com

Exemplo 3

Para bloquear visit.country.france.fr e work.country.france.fr, insira o seguinte no arquivo PeerVAlidationBypass.txt:

*.country.france.fr

Nota

O TLD é um código de país. Como resultado, caracteres curinga não são permitidos nos três últimos campos: country.france.fr.

Exemplo 4

Para bloquear os endereços IPv4 123.12.123.1 e 123.12.123.2, insira o seguinte no arquivo PeerValidationBypass.txt:

123.12.123.?

Observações adicionais

  • Depois de editar o PeerValidationBypass.txt, sempre que você usar cURL/OpenSSL nas ferramentas do Alteryx, ele procurará uma correspondência. Se o Designer ou o Server encontrar uma correspondência, a "Validação de pares" será desativada.

  • Observe que os produtos FIPS ignoram a "Lista de permissões".

  • Para evitar erros com a "Validação de pares" SSL quando o servidor externo exigir um certificado SSL assinado por uma CA intermediária, adicione a CA intermediária necessária à pasta Trusted Root Certification Authorities - Certificates no Microsoft Management Console.

Nesta secção: