Vulnerabilidade POODLE SSL 3.0

Vulnerabilidade POODLE SSL 3.0
Guia de Resposta ao Vendedor
Informações gerais
O que é POODLE?
POODLE é uma vulnerabilidade na segurança da Internet que afeta o protocolo Secure Sockets Layer (SSL)
3.0, projetado para garantir conexões seguras durante a navegação na Web. Quando explorada, essa
vulnerabilidade permite que criminosos cibernéticos tenham acesso a conexões consideradas seguras por
meio desse protocolo amplamente difundido, mas que já existe há 15.
Qual é a resposta do PayPal?
O PayPal desabilitará completamente o suporte a SSL 3.0. Como percebemos que desabilitar o SSL 3.0 pode
resultar em problemas de compatibilidade para alguns de nossos clientes, impedindo-os de fazer pagamentos
com o PayPal em alguns sites de vendedores ou causando outros problemas de processamento que ainda estão
sendo identificados. Para que você possa avaliar e solucionar possíveis problemas, criamos este Guia de
Resposta ao Vendedor para ajudá-lo a garantir que sua integração esteja protegida contra essa vulnerabilidade.
Manteremos nossos clientes informados sobre cada passo dado para a resolução desse problema por meio dos
canais apropriados, incluindo PayPal Forward, nosso Twitter, o Serviço de Atendimento ao Cliente e, para os
vendedores, nossa equipe de Serviço de Atendimento ao Vendedor. Agradecemos sua paciência e colaboração
em nossos esforços ininterruptos para garantir sua segurança.
O que você precisa fazer...
Se você não gerencia seu site nem a integração com o PayPal, recomendamos enfaticamente que você trabalhe
com seu parceiro de serviços de internet(desenvolvedor, empresa de hospedagem, plataforma de e-commerce,
etc.) e compartilhe este Guia de Resposta ao Vendedor, que apresenta diretrizes básicas sobre como fazer a
atualização para TLS. Se o seu parceiro de serviços de internet tiver alguma dúvida ou precisar de suporte, ele
poderá entrar em contato com nossa equipe de Suporte técnico ao vendedor em www.paypal.com/mts.
1. Testar sua integração atual no Sandbox (modo seguro) do PayPal
Se sua integração com o PayPal for direta, siga as instruções abaixo:
NOTE:
a.
Estamos trabalhando com nossos parceiros para solucionar o problema com o SSL 3.0. Se você está
integrado por meio do sistema de um parceiro ou de terceiros, recomendamos que trabalhe com seu
parceiro para assegurar que ele não use mais SSL 3.0. Se você usa componentes que podem ser
baixados ou uma solução não hospedada, talvez seja preciso que fazer upgrade ou download da versão
mais recente.
Direcione o seu ambiente de testes para o nosso Sandbox (modo seguro). Para obter mais detalhes,
consulte: https://developer.paypal.com/docs/classic/lifecycle/ug_sandbox/
-
b.
O SSL 3.0 já foi desabilitado no Sandbox do PayPal. Portanto, se conseguir fazer uma solicitação de
interface de programação de aplicativos (API), isso significa que você não está usando o SSL 3.0.
Se sua solicitação falhar, consulte os logs para saber o motivo.
-
Se vir um erro semelhante aos apresentados abaixo, quer dizer que você está usando o SSL 3.0 e
precisa configurar sua conexão segura para usar o protocolo TLS.
Copyright ©2014 PayPal Inc. Todos os direitos reservados.
Vulnerabilidade POODLE SSL 3.0 - Guia de Resposta ao Vendedor | 1
* Unknown SSL protocol error in connection to api-3t.sandbox.paypal.com:-9824
OU
140062736746144:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version
number:s3_pkt.c:337:
...
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol: SSLv3
...
2. Atualização para TLS
Todos os clientes do PayPal devem desabilitar o SSL 3.0 para interações com clientes e fazer upgrade para o
TLS antes de 3 de dezembro de 2014. A tabela abaixo fornece orientações básicas para fazer as atualizações
para TLS usando métodos de conexão e linguagens comuns. Suas configurações podem variar...
NOTE:
Para obter instruções detalhadas de como fazer upgrade dos SDKs e linguagens listadas a seguir, visite
https://ppmts.custhelp.com/app/answers/detail/a_id/1182.
Método de
conexão
Ação
SDK do
PayPal
Nenhuma das versões atuais ou das linguagens do kit de desenvolvimento de software (SDK) do PayPal
usa o SSL 3.0. No entanto, como os SDKs do Java e do PHP foram atualizados recentemente para
corrigir esse problema, todos os vendedores que usam esses SDKs ou SDKs herdados (anteriores a 21
de outubro de 2014) precisarão ser atualizados para a versão mais recente. Caso esteja em dúvida se o
seu SDK é o mais recente, faça um teste da sua integração no ambiente de Sandbox (modo seguro),
conforme explicado na Etapa 1.
 Para obter informações sobre as versões mais recentes de SDK, consulte:
http://paypal.github.io/sdk/#merchant
Endpoints de
API
Verifique se você está se conectando aos endpoints do PayPal usando o TLS. Consulte a tabela abaixo
para definir o protocolo TLS para a linguagem que você está usando. Se seu ambiente permitir, não
defina uma versão do TLS específica diretamente no código já que o protocolo escolherá
automaticamente a versão mais alta possível.
Linguage
m
Ação
Ruby
Defina o protocolo TLS em OpenSSL::SSL::SSLContext.
 Para obter mais detalhes, consulte:
http://ruby-doc.org/stdlib-1.9.3/libdoc/openssl/rdoc/OpenSSL/SSL/SSLContext.html
Python
Defina o protocolo TLS em ssl.SSLContext.
 Para obter mais detalhes, consulte:
https://docs.python.org/2/library/ssl.html#ssl.SSLContext
Node.js
Use o limite de renegociação correto, conforme especificado aqui:
 http://nodejs.org/api/tls.html#tls_client_initiated_renegotiation_attack_mitigation
PHP
Defina CURLOPT_SSLVERSION para CURL_SSLVERSION_TLSv1 em suas opções de
Curl.
 Para obter mais detalhes, consulte:
http://curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html
Copyright ©2014 PayPal Inc. Todos os direitos reservados.
Vendedor
Vulnerabilidade POODLE SSL 3.0 - Guia de Resposta ao
| 2
Java
Defina o protocolo TLS para javax.net.ssl.SSLContext.
 Para obter mais detalhes, consulte:
http://docs.oracle.com/javase/7/docs/technotes/guides/security/jsse/JSSERefGuide.html
C#
Use o protocolo TLS em SecurityProtocolType.
 Para obter mais detalhes, consulte:
http://msdn.microsoft.com/en‑us/library/system.net.securityprotocoltype%28v=vs.110%29.aspx
3. Emissão de novas credenciais (opcional)
Depois de fazer os testes e o upgrade para o TLS com sucesso, talvez seja necessário re-emitir e baixar novas
credenciais de API para todas as solicitações de API do PayPal. Essa etapa é enfaticamente recomendada, mas
não é obrigatória. Tome essa decisão com base nos riscos oferecidos à sua empresa e aos seus clientes.


Se estiver usando a autenticação de Certificado, nenhuma ação será necessária porque a vulnerabilidade
está relacionada ao protocolo SSL 3.0, e não ao projeto dos Certificados SSL.
Se você estiver usando uma autenticação de Assinatura, consulte:
https://developer.paypal.com/docs/classic/api/apiCredentials/

Se você estiver usando uma autenticação OAuth, consulte:
https://developer.paypal.com/docs/integration/admin/manage-apps/
Obrigado
Solicitamos que você trate deste assunto da forma mais rápida possível e siga nossas instruções. Sabemos que
essas medidas, apesar de necessárias, podem ocasionar problemas de compatibilidade. Ainda assim, não
podemos deixar de ressaltar que se trata de um problema de curto prazo e que essas medidas estão a serviço
de algo muito mais importante: nosso compromisso de manter as contas e informações financeiras de nossos
clientes protegidas.
Copyright ©2014 PayPal Inc. Todos os direitos reservados.
Vendedor
Vulnerabilidade POODLE SSL 3.0 - Guia de Resposta ao
| 3