Zagrożenie związane z atakiem POODLE na protokół SSL 3.0
Transkrypt
Zagrożenie związane z atakiem POODLE na protokół SSL 3.0
Zagrożenie związane z atakiem POODLE na protokół SSL 3.0 Przewodnik handlowca dotyczący bezpieczeństwa Opis Czym jest POODLE? POODLE to luka w zabezpieczeniach internetowych, która narusza protokół SSL (Secure Sockets Layer) w wersji 3.0, opracowany z myślą o zapewnieniu bezpieczeństwa połączeń w czasie korzystania z Internetu. Cyberprzestępcy mogą wykorzystać tę lukę w celu uzyskania dostępu do połączeń, które były do tej pory uznawane za bezpieczne, za pośrednictwem tego popularnego, choć liczącego już 15 lat, protokołu. Jakie środki ostrożności stosuje PayPal? Firma PayPal zakończy obsługę protokołu SSL 3.0. Zdajemy sobie sprawę, że dezaktywacja protokołu SSL 3.0 może uniemożliwiać naszym klientom dokonywanie płatności za pomocą niektórych witryn handlowców lub doprowadzić do innych utrudnień w korzystaniu z naszej usługi, nad których rozwiązaniem obecnie pracujemy. Aby przybliżyć użytkownikom rodzaj zagrożenia i ewentualne kroki naprawcze, opracowaliśmy Przewodnik handlowca dotyczący bezpieczeństwa, który umożliwi przeprowadzenie integracji usługi PayPal w sposób w pełni bezpieczny. Informacje o bieżących postępach w rozwiązywaniu tego problemu będą udostępniane poprzez portal PayPal Forward, nasze konto na Twitterze i Dział Obsługi Klienta, a handlowcom informacji udzieli zespół ds. usług dla handlowców. Dziękujemy za cierpliwość i zrozumienie. Bezpieczeństwo i doskonała obsługa klientów są dla nas najważniejsze. Co musisz zrobić… Jeśli nie zarządzasz swoją witryną ani procesem integracji z systemem PayPal, przekaż partnerowi zajmującemu się Twoją witryną (programiście, firmie hostującej, administratorowi platformy itp.) Przewodnik handlowca dotyczący bezpieczeństwa, który zawiera podstawowe instrukcje dotyczące aktualizacji do protokołu TLS. Wszelkie pytania lub prośby o pomoc wspomniany partner może kierować do zespołu ds. pomocy technicznej dla handlowców na adres www.paypal.com/mts. 1. Przetestuj integrację w Centrum testowym PayPal. Jeśli jesteś bezpośrednio zintegrowany z systemem PayPal, postępuj zgodnie z poniższymi wskazówkami: NOTE: a. Współpracujemy z naszymi partnerami w celu rozwiązania problemu z protokołem SSL 3.0. Jeśli integracja została przeprowadzona za pośrednictwem systemu partnera lub osoby trzeciej, należy upewnić się, że partner nie korzysta już z protokołu SSL 3.0. Jeśli korzystasz z pobranych składników lub rozwiązania niehostowanego, może być wymagane pobranie lub uaktualnienie do najnowszej wersji. W Centrum testowym PayPal należy wskazać swoje środowisko testowe. Więcej informacji znajduje się na stronie: https://developer.paypal.com/docs/classic/lifecycle/ug_sandbox/ - b. Protokół SSL 3.0 został już wyłączony w Centrum testowym PayPal. Jeżeli masz dostęp do interfejsu programowania aplikacji (API), oznacza to, że Twoje połączenie nie wykorzystuje protokołu SSL w wersji 3.0. W przypadku odmowy dostępu zapoznaj się z rejestrem. Copyright ©2014 PayPal Inc. Wszelkie prawa zastrzeżone.Zagrożenie związane z atakiem POODLE na protokół SSL 3.0 - Przewodnik handlowca dotyczący bezpieczeństwa | 1 - Komunikat o błędzie, taki jak poniżej, oznacza, że korzystasz z protokołu SSL 3.0 i konieczna jest konfiguracja do protokołu TLS (Transport Layer Security). * Nieznany błąd protokołu SSL w związku z api-3t.sandbox.paypal.com:-9824 LUB 140062736746144:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337: ... New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE SSL-Session: Protocol: SSLv3 ... 2. Zaktualizuj protokół do standardu TLS. Do 3 grudnia 2014 r. wszyscy użytkownicy systemu PayPal powinni wyłączyć obsługę protokołu SSL 3.0 dla transakcji z klientami i od tej pory korzystać z protokołu TLS. Sposoby aktualizacji protokołu do standardu TLS dla najpopularniejszych języków i rodzajów połączeń zostały opisane w poniższej tabeli. Poszczególne ustawienia mogą się różnić… NOTE: Szczegółowe instrukcje dotyczące uaktualnienia w odniesieniu do zestawów SDK i języków wymienionych poniżej można znaleźć pod adresem https://ppmts.custhelp.com/app/answers/detail/a_id/1182. Rodzaj połączenia Działanie Zestaw narzędzi programistyc znych (SDK) firmy PayPal Niezależnie od wersji i języka żaden z obecnych zestawów narzędzi programistycznych PayPal nie używa protokołu SSL 3.0. Zestawy SDK dla środowisk Java i PHP zostały ostatnio zaktualizowane w celu rozwiązania tego problemu, wszyscy handlowcy korzystający z tych lub starszych zestawów (sprzed 21 października 2014 r.) powinni zatem zaktualizować je do najnowszej wersji. Jeśli nie masz pewności, czy korzystasz z najnowszego zestawu SDK, sprawdź dokonaną integrację w środowisku testowym zgodnie z opisem z kroku 1. Informacje o najnowszych zestawach SDK można znaleźć pod adresem http://paypal.github.io/sdk/#merchant Punkt Upewnij się, że łączysz się z punktami końcowymi PayPal za pomocą protokołu TLS. Konfiguracja końcowy protokołu TLS w Twoim języku została opisana w poniższej tabeli. Jeśli środowisko na to pozwala, nie interfejsu API należy kodować do konkretnej wersji TLS, ponieważ to protokół automatycznie wybierze najwyższą możliwą wersję. Język Działanie Ruby Konfiguracja protokołu TLS dla połączenia OpenSSL::SSL::SSLContext. Więcej informacji znajduje się na stronie: http://ruby-doc.org/stdlib-1.9.3/libdoc/openssl/rdoc/OpenSSL/SSL/SSLContext.html. Python Konfiguracja protokołu TLS dla połączenia ssl.SSLContext. Więcej informacji znajduje się na stronie: https://docs.python.org/2/library/ssl.html#ssl.SSLContext. Node.js Zastosuj poprawny limit renegocjacji określony tutaj: http://nodejs.org/api/tls.html#tls_client_initiated_renegotiation_attack_mitigation Copyright ©2014 PayPal Inc. Wszelkie prawa zastrzeżone.Zagrożenie związane z atakiem POODLE na protokół SSL 3.0 Przewodnik handlowca dotyczący bezpieczeństwa | 2 PHP Ustaw CURLOPT_SSLVERSION na CURL_SSLVERSION_TLSv1 w opcjach Curl. Więcej informacji znajduje się na stronie: http://curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html. Java Konfiguracja protokołu TLS dla połączenia javax.net.ssl.SSLContext. Więcej informacji znajduje się na stronie: http://docs.oracle.com/javase/7/docs/technotes/guides/security/jsse/JSSERefGuide.html. C# Jako typ protokołu bezpieczeństwa wybierz TLS. Więcej informacji znajduje się na stronie http://msdn.microsoft.com/en‑us/library/system.net.securityprotocoltype%28v=vs.110%29.aspx. 3. Zmień dane logowania (opcjonalne). Po przetestowaniu swojego połączenia i udanej aktualizacji protokołu do standardu TLS możesz również wygenerować i pobrać nowe dane uwierzytelniające API dla wszystkich żądań interfejsu API systemu PayPal. Ten krok jest bardzo zalecany, nie jest jednak obowiązkowy. Przy podejmowaniu decyzji należy wziąć pod uwagę ewentualne ryzyko dla działalności i klientów. Jeśli korzystasz z uwierzytelnienia za pomocą certyfikatu, nie jest wymagane żadne działanie, ponieważ problemem jest protokół SSL 3.0, a nie struktura certyfikatów SSL. Jeżeli stosujesz uwierzytelnienie za pomocą podpisu, odwiedź stronę https://developer.paypal.com/docs/classic/api/apiCredentials/. Jeżeli korzystasz z uwierzytelnienia OAuth, przejdź na stronę https://developer.paypal.com/docs/integration/admin/manage-apps/. Dziękujemy Dziękujemy za szybką reakcję w tej sprawie i zrozumienie dla wprowadzonych przez nas zmian. Wymagana przez nas zmiana może prowadzić do tymczasowych problemów ze zgodnością, ale dzięki niej zapewnimy pełne bezpieczeństwo kont i danych finansowych naszych klientów. Copyright ©2014 PayPal Inc. Wszelkie prawa zastrzeżone.Zagrożenie związane z atakiem POODLE na protokół SSL 3.0 Przewodnik handlowca dotyczący bezpieczeństwa | 3