Heroku и Twilio Новый сертификат с подписью SHA2

Около недели назад я получил электронное письмо от Twilio, сообщающее мне об обновлениях безопасности и возможных проблемах совместимости на приложения, использующие старые клиентские библиотеки SSL. Мое приложение размещено на Heroku, не использует собственный домен и не использует их SSL. Этот вопрос не является проблемой для меня, не так ли? Heroku обычно находится на вершине безопасности и в курсе этих вещей, но в Google я нахожу информацию только о настройке SSL для пользовательских доменов на Heroku. У кого-нибудь есть идеи?

Напоминание Twilio View Online: изменения сертификата безопасности

Это напоминание о том, что 1 декабря 2015 г. в 16:30 по тихоокеанскому времени мы обновим api.twilio.com сертификатом с подписью SHA2, что является значительным улучшением в технологии шифрования. Из официального объявления от 8 октября 2015 г.: Хотя подавляющее большинство приложений никак не пострадает, существует вероятность того, что приложения, использующие старые клиентские библиотеки SSL, могут столкнуться с проблемами совместимости. Чтобы убедиться, что ваше приложение совместимо с новым сертификатом, мы предоставили тестовую конечную точку API по адресу api.twilio.com:8443. Обратите внимание, что эта конечная точка использует порт, отличный от текущего порта по умолчанию 443. Убедитесь, что вы указали этот порт в своем Twilio SDK.

Конечная точка проверки станет устаревшей 1 декабря 2015 г., когда новый сертификат, подписанный SHA2, будет развернут в основной конечной точке Twilio API (порт 443). Пожалуйста, сообщите нам по адресу [email protected], если у вас есть какие-либо вопросы. Мы всегда слушаем и всегда готовы помочь.

С уважением, команда Twilio


ssl heroku twilio sha2
person BenU    schedule 02.12.2015    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Евангелист разработчиков Twilio здесь.

Это предупреждение относится не к вашему домену, а к библиотеке SSL на платформе, на которой вы отправляете API-запросы к Twilio.

Поскольку вы опубликовали этот вопрос незадолго до того, как произошло отключение, и теперь его нет, я не могу дать вам совет по его тестированию до того, как старые сертификаты будут удалены. По сути, на данный момент, если вы не видите никаких ошибок в своем приложении, которое вызывает API Twilio, значит, вы в безопасности.

Как вы сказали, Heroku обычно занимается такими вещами и поддерживает свои библиотеки SSL в актуальном состоянии, поэтому вам не о чем беспокоиться. Я только что запустил динамометрический стенд и провел несколько тестов, и все работает нормально, поэтому я подозреваю, что вам не о чем беспокоиться.

Если бы вы протестировали это до внесения изменений, вы могли бы использовать тестовую конечную точку на порту 8443. В Ruby (я не уверен, какой язык вы используете, но в любом случае это хороший пример) вы сделали бы это :

require 'twilio-ruby'
account_sid = "AC123..." # your Twilio account sid
auth_token = "xyzabc..." # your Twilio auth token

client = Twilio::REST::Client.new(account_sid, auth_token, port: 8443)

Затем сделайте любой вызов API и убедитесь, что он работает через этот порт.

client.messages.list

Если это сработает, то вы в безопасности и вам не о чем беспокоиться.

person philnash    schedule 02.12.2015