Vulnerabilidade POODLE SSL 3.0
Transcrição
Vulnerabilidade POODLE SSL 3.0
Vulnerabilidade POODLE SSL 3.0 Guia de Resposta ao Vendedor Informações gerais O que é POODLE? POODLE é uma vulnerabilidade na segurança da Internet que afeta o protocolo Secure Sockets Layer (SSL) 3.0, projetado para garantir conexões seguras durante a navegação na Web. Quando explorada, essa vulnerabilidade permite que criminosos cibernéticos tenham acesso a conexões consideradas seguras por meio desse protocolo amplamente difundido, mas que já existe há 15. Qual é a resposta do PayPal? O PayPal desabilitará completamente o suporte a SSL 3.0. Como percebemos que desabilitar o SSL 3.0 pode resultar em problemas de compatibilidade para alguns de nossos clientes, impedindo-os de fazer pagamentos com o PayPal em alguns sites de vendedores ou causando outros problemas de processamento que ainda estão sendo identificados. Para que você possa avaliar e solucionar possíveis problemas, criamos este Guia de Resposta ao Vendedor para ajudá-lo a garantir que sua integração esteja protegida contra essa vulnerabilidade. Manteremos nossos clientes informados sobre cada passo dado para a resolução desse problema por meio dos canais apropriados, incluindo PayPal Forward, nosso Twitter, o Serviço de Atendimento ao Cliente e, para os vendedores, nossa equipe de Serviço de Atendimento ao Vendedor. Agradecemos sua paciência e colaboração em nossos esforços ininterruptos para garantir sua segurança. O que você precisa fazer... Se você não gerencia seu site nem a integração com o PayPal, recomendamos enfaticamente que você trabalhe com seu parceiro de serviços de internet(desenvolvedor, empresa de hospedagem, plataforma de e-commerce, etc.) e compartilhe este Guia de Resposta ao Vendedor, que apresenta diretrizes básicas sobre como fazer a atualização para TLS. Se o seu parceiro de serviços de internet tiver alguma dúvida ou precisar de suporte, ele poderá entrar em contato com nossa equipe de Suporte técnico ao vendedor em www.paypal.com/mts. 1. Testar sua integração atual no Sandbox (modo seguro) do PayPal Se sua integração com o PayPal for direta, siga as instruções abaixo: NOTE: a. Estamos trabalhando com nossos parceiros para solucionar o problema com o SSL 3.0. Se você está integrado por meio do sistema de um parceiro ou de terceiros, recomendamos que trabalhe com seu parceiro para assegurar que ele não use mais SSL 3.0. Se você usa componentes que podem ser baixados ou uma solução não hospedada, talvez seja preciso que fazer upgrade ou download da versão mais recente. Direcione o seu ambiente de testes para o nosso Sandbox (modo seguro). Para obter mais detalhes, consulte: https://developer.paypal.com/docs/classic/lifecycle/ug_sandbox/ - b. O SSL 3.0 já foi desabilitado no Sandbox do PayPal. Portanto, se conseguir fazer uma solicitação de interface de programação de aplicativos (API), isso significa que você não está usando o SSL 3.0. Se sua solicitação falhar, consulte os logs para saber o motivo. - Se vir um erro semelhante aos apresentados abaixo, quer dizer que você está usando o SSL 3.0 e precisa configurar sua conexão segura para usar o protocolo TLS. Copyright ©2014 PayPal Inc. Todos os direitos reservados. Vulnerabilidade POODLE SSL 3.0 - Guia de Resposta ao Vendedor | 1 * Unknown SSL protocol error in connection to api-3t.sandbox.paypal.com:-9824 OU 140062736746144:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337: ... New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE SSL-Session: Protocol: SSLv3 ... 2. Atualização para TLS Todos os clientes do PayPal devem desabilitar o SSL 3.0 para interações com clientes e fazer upgrade para o TLS antes de 3 de dezembro de 2014. A tabela abaixo fornece orientações básicas para fazer as atualizações para TLS usando métodos de conexão e linguagens comuns. Suas configurações podem variar... NOTE: Para obter instruções detalhadas de como fazer upgrade dos SDKs e linguagens listadas a seguir, visite https://ppmts.custhelp.com/app/answers/detail/a_id/1182. Método de conexão Ação SDK do PayPal Nenhuma das versões atuais ou das linguagens do kit de desenvolvimento de software (SDK) do PayPal usa o SSL 3.0. No entanto, como os SDKs do Java e do PHP foram atualizados recentemente para corrigir esse problema, todos os vendedores que usam esses SDKs ou SDKs herdados (anteriores a 21 de outubro de 2014) precisarão ser atualizados para a versão mais recente. Caso esteja em dúvida se o seu SDK é o mais recente, faça um teste da sua integração no ambiente de Sandbox (modo seguro), conforme explicado na Etapa 1. Para obter informações sobre as versões mais recentes de SDK, consulte: http://paypal.github.io/sdk/#merchant Endpoints de API Verifique se você está se conectando aos endpoints do PayPal usando o TLS. Consulte a tabela abaixo para definir o protocolo TLS para a linguagem que você está usando. Se seu ambiente permitir, não defina uma versão do TLS específica diretamente no código já que o protocolo escolherá automaticamente a versão mais alta possível. Linguage m Ação Ruby Defina o protocolo TLS em OpenSSL::SSL::SSLContext. Para obter mais detalhes, consulte: http://ruby-doc.org/stdlib-1.9.3/libdoc/openssl/rdoc/OpenSSL/SSL/SSLContext.html Python Defina o protocolo TLS em ssl.SSLContext. Para obter mais detalhes, consulte: https://docs.python.org/2/library/ssl.html#ssl.SSLContext Node.js Use o limite de renegociação correto, conforme especificado aqui: http://nodejs.org/api/tls.html#tls_client_initiated_renegotiation_attack_mitigation PHP Defina CURLOPT_SSLVERSION para CURL_SSLVERSION_TLSv1 em suas opções de Curl. Para obter mais detalhes, consulte: http://curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html Copyright ©2014 PayPal Inc. Todos os direitos reservados. Vendedor Vulnerabilidade POODLE SSL 3.0 - Guia de Resposta ao | 2 Java Defina o protocolo TLS para javax.net.ssl.SSLContext. Para obter mais detalhes, consulte: http://docs.oracle.com/javase/7/docs/technotes/guides/security/jsse/JSSERefGuide.html C# Use o protocolo TLS em SecurityProtocolType. Para obter mais detalhes, consulte: http://msdn.microsoft.com/en‑us/library/system.net.securityprotocoltype%28v=vs.110%29.aspx 3. Emissão de novas credenciais (opcional) Depois de fazer os testes e o upgrade para o TLS com sucesso, talvez seja necessário re-emitir e baixar novas credenciais de API para todas as solicitações de API do PayPal. Essa etapa é enfaticamente recomendada, mas não é obrigatória. Tome essa decisão com base nos riscos oferecidos à sua empresa e aos seus clientes. Se estiver usando a autenticação de Certificado, nenhuma ação será necessária porque a vulnerabilidade está relacionada ao protocolo SSL 3.0, e não ao projeto dos Certificados SSL. Se você estiver usando uma autenticação de Assinatura, consulte: https://developer.paypal.com/docs/classic/api/apiCredentials/ Se você estiver usando uma autenticação OAuth, consulte: https://developer.paypal.com/docs/integration/admin/manage-apps/ Obrigado Solicitamos que você trate deste assunto da forma mais rápida possível e siga nossas instruções. Sabemos que essas medidas, apesar de necessárias, podem ocasionar problemas de compatibilidade. Ainda assim, não podemos deixar de ressaltar que se trata de um problema de curto prazo e que essas medidas estão a serviço de algo muito mais importante: nosso compromisso de manter as contas e informações financeiras de nossos clientes protegidas. Copyright ©2014 PayPal Inc. Todos os direitos reservados. Vendedor Vulnerabilidade POODLE SSL 3.0 - Guia de Resposta ao | 3
Documentos relacionados
Vulnerabilidade POODLE SSL 3.0
Use o limite de renegociação correto conforme especificado aqui:
Leia maisPayPal User Guide Template
Se partes do seu ambiente não oferecem suporte ao SHA-256, você deve substituir ou fazer upgrade dessas partes antes de implementar os novos certificados. O Windows 2000 Server e algumas versões do...
Leia maisPayPal User Guide Template
VeriSign G2 A questão: No passado, a VeriSign emitiu certificados SSL que tinham uma cadeia de fidedignidade assinada pelo Certificado de Raiz G2 de 1024 bits. Nos últimos anos, as autoridades gove...
Leia mais