Zagrożenie związane z atakiem POODLE na protokół SSL 3.0

Zagrożenie związane z atakiem POODLE na protokół SSL 3.0

Zagrożenie związane z atakiem POODLE
na protokół SSL 3.0
Przewodnik handlowca dotyczący bezpieczeństwa
Opis
Czym jest POODLE?
POODLE to luka w zabezpieczeniach internetowych, która narusza protokół SSL (Secure Sockets Layer) w
wersji 3.0, opracowany z myślą o zapewnieniu bezpieczeństwa połączeń w czasie korzystania z Internetu.
Cyberprzestępcy mogą wykorzystać tę lukę w celu uzyskania dostępu do połączeń, które były do tej pory
uznawane za bezpieczne, za pośrednictwem tego popularnego, choć liczącego już 15 lat, protokołu.
Jakie środki ostrożności stosuje PayPal?
Firma PayPal zakończy obsługę protokołu SSL 3.0. Zdajemy sobie sprawę, że dezaktywacja protokołu SSL 3.0
może uniemożliwiać naszym klientom dokonywanie płatności za pomocą niektórych witryn handlowców lub
doprowadzić do innych utrudnień w korzystaniu z naszej usługi, nad których rozwiązaniem obecnie pracujemy.
Aby przybliżyć użytkownikom rodzaj zagrożenia i ewentualne kroki naprawcze, opracowaliśmy Przewodnik
handlowca dotyczący bezpieczeństwa, który umożliwi przeprowadzenie integracji usługi PayPal w sposób w pełni
bezpieczny.
Informacje o bieżących postępach w rozwiązywaniu tego problemu będą udostępniane poprzez portal PayPal
Forward, nasze konto na Twitterze i Dział Obsługi Klienta, a handlowcom informacji udzieli zespół ds. usług dla
handlowców. Dziękujemy za cierpliwość i zrozumienie. Bezpieczeństwo i doskonała obsługa klientów są dla nas
najważniejsze.
Co musisz zrobić…
Jeśli nie zarządzasz swoją witryną ani procesem integracji z systemem PayPal, przekaż partnerowi zajmującemu
się Twoją witryną (programiście, firmie hostującej, administratorowi platformy itp.) Przewodnik handlowca
dotyczący bezpieczeństwa, który zawiera podstawowe instrukcje dotyczące aktualizacji do protokołu TLS.
Wszelkie pytania lub prośby o pomoc wspomniany partner może kierować do zespołu ds. pomocy technicznej dla
handlowców na adres www.paypal.com/mts.
1. Przetestuj integrację w Centrum testowym PayPal.
Jeśli jesteś bezpośrednio zintegrowany z systemem PayPal, postępuj zgodnie z poniższymi wskazówkami:
NOTE:
a.
Współpracujemy z naszymi partnerami w celu rozwiązania problemu z protokołem SSL 3.0. Jeśli
integracja została przeprowadzona za pośrednictwem systemu partnera lub osoby trzeciej, należy
upewnić się, że partner nie korzysta już z protokołu SSL 3.0. Jeśli korzystasz z pobranych składników lub
rozwiązania niehostowanego, może być wymagane pobranie lub uaktualnienie do najnowszej wersji.
W Centrum testowym PayPal należy wskazać swoje środowisko testowe. Więcej informacji znajduje się
na stronie: https://developer.paypal.com/docs/classic/lifecycle/ug_sandbox/
-
b.
Protokół SSL 3.0 został już wyłączony w Centrum testowym PayPal. Jeżeli masz dostęp do interfejsu
programowania aplikacji (API), oznacza to, że Twoje połączenie nie wykorzystuje protokołu SSL w
wersji 3.0.
W przypadku odmowy dostępu zapoznaj się z rejestrem.
Copyright ©2014 PayPal Inc. Wszelkie prawa zastrzeżone.Zagrożenie związane z atakiem POODLE na protokół SSL 3.0 - Przewodnik
handlowca dotyczący bezpieczeństwa
| 1
-
Komunikat o błędzie, taki jak poniżej, oznacza, że korzystasz z protokołu SSL 3.0 i konieczna jest
konfiguracja do protokołu TLS (Transport Layer Security).
* Nieznany błąd protokołu SSL w związku z api-3t.sandbox.paypal.com:-9824
LUB
140062736746144:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version
number:s3_pkt.c:337:
...
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol: SSLv3
...
2. Zaktualizuj protokół do standardu TLS.
Do 3 grudnia 2014 r. wszyscy użytkownicy systemu PayPal powinni wyłączyć obsługę protokołu SSL 3.0 dla
transakcji z klientami i od tej pory korzystać z protokołu TLS. Sposoby aktualizacji protokołu do standardu TLS dla
najpopularniejszych języków i rodzajów połączeń zostały opisane w poniższej tabeli. Poszczególne ustawienia
mogą się różnić…
NOTE:
Szczegółowe instrukcje dotyczące uaktualnienia w odniesieniu do zestawów SDK i języków
wymienionych poniżej można znaleźć pod adresem
https://ppmts.custhelp.com/app/answers/detail/a_id/1182.
Rodzaj
połączenia
Działanie
Zestaw
narzędzi
programistyc
znych (SDK)
firmy PayPal
Niezależnie od wersji i języka żaden z obecnych zestawów narzędzi programistycznych PayPal nie używa
protokołu SSL 3.0. Zestawy SDK dla środowisk Java i PHP zostały ostatnio zaktualizowane w celu
rozwiązania tego problemu, wszyscy handlowcy korzystający z tych lub starszych zestawów (sprzed 21
października 2014 r.) powinni zatem zaktualizować je do najnowszej wersji. Jeśli nie masz pewności, czy
korzystasz z najnowszego zestawu SDK, sprawdź dokonaną integrację w środowisku testowym zgodnie z
opisem z kroku 1.
 Informacje o najnowszych zestawach SDK można znaleźć pod adresem
http://paypal.github.io/sdk/#merchant
Punkt
Upewnij się, że łączysz się z punktami końcowymi PayPal za pomocą protokołu TLS. Konfiguracja
końcowy
protokołu TLS w Twoim języku została opisana w poniższej tabeli. Jeśli środowisko na to pozwala, nie
interfejsu API należy kodować do konkretnej wersji TLS, ponieważ to protokół automatycznie wybierze najwyższą
możliwą wersję.
Język
Działanie
Ruby
Konfiguracja protokołu TLS dla połączenia OpenSSL::SSL::SSLContext.
 Więcej informacji znajduje się na stronie:
http://ruby-doc.org/stdlib-1.9.3/libdoc/openssl/rdoc/OpenSSL/SSL/SSLContext.html.
Python
Konfiguracja protokołu TLS dla połączenia ssl.SSLContext.
 Więcej informacji znajduje się na stronie:
https://docs.python.org/2/library/ssl.html#ssl.SSLContext.
Node.js
Zastosuj poprawny limit renegocjacji określony tutaj:
 http://nodejs.org/api/tls.html#tls_client_initiated_renegotiation_attack_mitigation
Copyright ©2014 PayPal Inc. Wszelkie prawa zastrzeżone.Zagrożenie związane z atakiem POODLE na protokół SSL 3.0 Przewodnik handlowca dotyczący bezpieczeństwa
| 2
PHP
Ustaw CURLOPT_SSLVERSION na CURL_SSLVERSION_TLSv1 w opcjach Curl.
 Więcej informacji znajduje się na stronie:
http://curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html.
Java
Konfiguracja protokołu TLS dla połączenia javax.net.ssl.SSLContext.
 Więcej informacji znajduje się na stronie:
http://docs.oracle.com/javase/7/docs/technotes/guides/security/jsse/JSSERefGuide.html.
C#
Jako typ protokołu bezpieczeństwa wybierz TLS.
 Więcej informacji znajduje się na stronie
http://msdn.microsoft.com/en‑us/library/system.net.securityprotocoltype%28v=vs.110%29.aspx.
3. Zmień dane logowania (opcjonalne).
Po przetestowaniu swojego połączenia i udanej aktualizacji protokołu do standardu TLS możesz również
wygenerować i pobrać nowe dane uwierzytelniające API dla wszystkich żądań interfejsu API systemu PayPal.
Ten krok jest bardzo zalecany, nie jest jednak obowiązkowy. Przy podejmowaniu decyzji należy wziąć pod uwagę
ewentualne ryzyko dla działalności i klientów.


Jeśli korzystasz z uwierzytelnienia za pomocą certyfikatu, nie jest wymagane żadne działanie, ponieważ
problemem jest protokół SSL 3.0, a nie struktura certyfikatów SSL.
Jeżeli stosujesz uwierzytelnienie za pomocą podpisu, odwiedź stronę
https://developer.paypal.com/docs/classic/api/apiCredentials/.

Jeżeli korzystasz z uwierzytelnienia OAuth, przejdź na stronę
https://developer.paypal.com/docs/integration/admin/manage-apps/.
Dziękujemy
Dziękujemy za szybką reakcję w tej sprawie i zrozumienie dla wprowadzonych przez nas zmian. Wymagana
przez nas zmiana może prowadzić do tymczasowych problemów ze zgodnością, ale dzięki niej zapewnimy pełne
bezpieczeństwo kont i danych finansowych naszych klientów.
Copyright ©2014 PayPal Inc. Wszelkie prawa zastrzeżone.Zagrożenie związane z atakiem POODLE na protokół SSL 3.0 Przewodnik handlowca dotyczący bezpieczeństwa
| 3