POODLE SSL 3.0 Vulnerability

POODLE SSL 3.0 Vulnerability
Guida per commercianti
Introduzione
Che cos'è POODLE?
POODLE è un tipo di vulnerabilità della sicurezza in rete che può compromettere la protezione fornita dal
protocollo Secure Sockets Layer (SSL) 3.0, progettato per proteggere le connessioni durante la navigazione in
Internet. Tale vulnerabilità consente a eventuali cybercriminali di accedere alle connessioni considerate sicure
servendosi di questo protocollo, ampiamente diffuso ma ormai obsoleto (15 anni).
Quale sarà l'approccio di PayPal?
PayPal disabiliterà completamente il supporto del protocollo SSL 3.0. Sappiamo che la disattivazione di SSL 3.0
può causare problemi di compatibilità per alcuni utenti, con la conseguente impossibilità di pagare con PayPal su
alcuni siti o l'insorgenza di altri problemi non ancora identificati. Abbiamo creato la Guida per commercianti per
consentirti di verificare che la tua integrazione sia al sicuro da questa vulnerabilità e, in caso contrario, intervenire
nel modo opportuno.
Terremo aggiornati i nostri utenti sulla soluzione di questo problema tramite i canali preposti, inclusi PayPal
Forward, il nostro account Twitter, l'Assistenza clienti e l'Assistenza per commercianti. Grazie per la pazienza e la
collaborazione.
Cosa fare...
Se non gestisci il tuo sito o l'integrazione di PayPal, ti consigliamo di collaborare con il tuo fornitore di servizi per il
sito (sviluppatore, società di hosting, piattaforma di e-commerce, ecc.) e di fornirgli questa Guida per
commercianti che offre linee guida per eseguire l'aggiornamento al protocollo TLS. Se il tuo fornitore di servizi ha
domande o necessita di assistenza, può contattare il team di assistenza tecnica all'indirizzo www.paypal.com/mts.
1. Verifica la tua integrazione attuale in ambiente Sandbox PayPal
Se hai effettuato l'integrazione direttamente con PayPal, procedi in questo modo:
NOTE:
a.
Stiamo collaborando con i nostri Partner per risolvere il problema del protocollo SSL 3.0. Se hai eseguito
l'integrazione tramite un Partner o un sistema di terze parti, ti consigliamo di verificare che il tuo Partner
non usi più il protocollo SSL 3.0. Se usi componenti scaricabili o una soluzione non in hosting, potrebbe
essere necessario eseguire l'aggiornamento o scaricare la versione più recente.
Accedi a Sandbox. Per maggiori dettagli, vedi:
https://developer.paypal.com/docs/classic/lifecycle/ug_sandbox/
-
b.
Il protocollo SSL 3.0 è già disattivato su Sandbox PayPal, pertanto, se riesci a inviare una chiamata
API (Application Program Interface), significa che non stai usando il protocollo SSL 3.0.
Se la tua richiesta non va a buon fine, controlla i registri per capirne la causa.
-
Se si verifica un errore simile a quelli riportati di seguito, significa che stai usando il protocollo SSL
3.0 e dovrai configurare la tua connessione sicura con il protocollo TLS (Transport Layer Security).
*Unknown SSL protocol error in connection to api-3t.sandbox.paypal.com:-9824
OPPURE
Copyright ©2014 PayPal Inc. Tutti i diritti riservati.
POODLE SSL 3.0 Vulnerability - Guida per commercianti | 1
140062736746144:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version
number:s3_pkt.c:337:
...
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol: SSLv3
...
2. Esegui l'aggiornamento al protocollo TLS
Tutti i clienti PayPal sono tenuti a disabilitare il protocollo SSL 3.0 per le interazioni con i client e a passare a TLS
entro il 3 dicembre 2014. La tabella di seguito riporta le principali linee guida per eseguire l'aggiornamento a TLS
usando comuni linguaggi e metodi di connessione. Le tue impostazioni effettive potrebbero variare…
NOTE:
Per istruzioni dettagliate sull'aggiornamento per gli SDK e i linguaggi riportati di seguito, fai riferimento al
sito https://ppmts.custhelp.com/app/answers/detail/a_id/1182.
Metodo di
connessione
Azione
PayPal SDK
Nessun linguaggio o versione corrente di SDK (Software Development Kit) PayPal usa il protocollo SSL
3.0. Tuttavia, poiché gli SDK Java e PHP sono stati aggiornati di recente per risolvere questo problema,
tutti i commercianti che usano questi SDK (o SDK con data precedente al 21 ottobre 2014) dovranno
eseguire l'aggiornamento alla versione più recente. Se non hai la certezza di usare l'SDK più recente,
verifica la tua integrazione in ambiente Sandbox come spiegato al punto 1.
 Per maggiori dettagli sulle versioni più recenti degli SDK, vedi: http://paypal.github.io/sdk/#merchant
Endpoint API
Assicurati di essere connesso agli endpoint PayPal usando TLS. Consulta la tabella di seguito per
impostare il protocollo TLS per il linguaggio in uso. Se il tuo ambiente lo consente, non impostare come
hardcoded a una versione TLS specifica poiché il protocollo deciderà la versione più recente
automaticamente.
Linguaggi
o
Azione
Ruby
Imposta il protocollo TLS in OpenSSL::SSL::SSLContext.
 Per maggiori dettagli, vedi:
http://ruby-doc.org/stdlib-1.9.3/libdoc/openssl/rdoc/OpenSSL/SSL/SSLContext.html
Python
Imposta il protocollo TLS in ssl.SSLContext.
 Per maggiori dettagli, vedi:
https://docs.python.org/2/library/ssl.html#ssl.SSLContext
Node.js
Usa il corretto renegotiation limit come indicato:
 http://nodejs.org/api/tls.html#tls_client_initiated_renegotiation_attack_mitigation
PHP
Imposta CURLOPT_SSLVERSION su CURL_SSLVERSION_TLSv1 nelle opzioni Curl.
 Per maggiori dettagli, vedi:
http://curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html
Java
Imposta il protocollo TLS in javax.net.ssl.SSLContext.
 Per maggiori dettagli, vedi:
http://docs.oracle.com/javase/7/docs/technotes/guides/security/jsse/JSSERefGuide.html
C#
Usa il SecurityProtocolType TLS.
 Per maggiori dettagli, vedi:
http://msdn.microsoft.com/en-us/library/system.net.securityprotocoltype%28v=vs.110%29.aspx
Copyright ©2014 PayPal Inc. Tutti i diritti riservati.
POODLE SSL 3.0 Vulnerability - Guida per commercianti | 2
3. Emetti nuove credenziali (opzionale)
Dopo essere passato a TLS, potresti voler riemettere e scaricare le nuove credenziali API per le richieste API
PayPal. Questa procedura è consigliata, ma non richiesta. Prendi una decisione basata sul rischio per la tua
attività e i tuoi clienti.



Se usi l'autenticazione con certificato, non dovrai fare nulla perché la vulnerabilità è nel protocollo SSL 3.0 e
non interessa i certificati SSL.
Se usi l'autenticazione con firma, vedi: https://developer.paypal.com/docs/classic/api/apiCredentials/
Se usi l'autenticazione OAuth, vedi: https://developer.paypal.com/docs/integration/admin/manage-apps/
Grazie
Ti ringraziamo per la collaborazione volta a risolvere questo problema e per la comprensione del nostro
approccio. Benché consapevoli che l'operazione potrebbe causare problemi di compatibilità, tale disagio sarà
ricompensato dal fatto che i conti e i dati finanziari dei nostri e dei tuoi clienti saranno al sicuro.
Copyright ©2014 PayPal Inc. Tutti i diritti riservati.
POODLE SSL 3.0 Vulnerability - Guida per commercianti | 3