Heroku и Twilio Новый сертификат, подписанный SHA2

Question

Heroku и Twilio Новый сертификат, подписанный SHA2

Около недели назад я получил электронное письмо от Twilio, в котором сообщалось об обновлениях безопасности и возможности проблем совместимости приложений, использующих старые клиентские библиотеки SSL. Мое приложение размещено на Heroku, оно не использует пользовательский домен и не поддерживает их SSL. Эта проблема не проблема для меня, не так ли? Heroku, как правило, находится на вершине безопасности и в курсе этих вещей, но поиск в Google Я нахожу только информацию о настройке SSL для пользовательских доменов в Heroku. У кого-нибудь есть идеи?

Twilio View Online Reminder: изменения сертификата безопасности
Это напоминание о том, что 1 декабря 2015 года в 16:30 по тихоокеанскому времени мы обновим api.twilio.com сертификатом, подписанным SHA2, что является значительным улучшением в технологии шифрования. Из официального объявления от 8 октября 2015 г.: Хотя на подавляющее большинство приложений это никак не повлияет, существует вероятность того, что приложения, использующие старые клиентские библиотеки SSL, могут столкнуться с проблемами совместимости. Чтобы убедиться, что ваше приложение совместимо с новым сертификатом, мы предоставили тестовую конечную точку API по адресу api.twilio.com:8443. Обратите внимание, что эта конечная точка использует порт, отличный от текущего по умолчанию порта 443. Убедитесь, что вы указали этот порт в Twilio SDK.
Конечная точка проверки будет признана устаревшей 1 декабря 2015 года, когда новый сертификат, подписанный SHA2, будет развернут на основной конечной точке API Twilio (порт 443). Пожалуйста, дайте нам знать по адресу help@twilio.com, если у вас есть какие-либо вопросы. Мы всегда слушаем, и мы здесь, чтобы помочь.
Приветствия, Команда Twilio

0

ssl heroku twilio sha2

Источник

user667330 02 дек '15 в 00:03

1 ответ

Решение

Другие вопросы по тегам ssl heroku twilio sha2

user28376 02 дек '15 в 05:45 2015-12-02 05:45 · Accepted Answer · 2015-12-02 05:45

Twilio разработчик евангелист здесь.

Это предупреждение касается не вашего домена, а библиотеки SSL на платформе, на которой вы делаете запросы API к Twilio.

Поскольку вы разместили этот вопрос незадолго до того, как отключение пришло, а теперь оно исчезло, я не могу дать вам совет по его проверке до удаления старых сертификатов. По сути, к настоящему времени, если вы не видите никаких ошибок в своем приложении, которое выполняет вызовы API Twilio, то вы в безопасности.

Как вы сказали, Heroku обычно руководит такими вещами и поддерживает свои библиотеки SSL в актуальном состоянии, поэтому вам не о чем беспокоиться. Я просто раскрутил динамо и провел несколько тестов, и все, казалось, работало нормально, поэтому я подозреваю, что вам не о чем беспокоиться.

Если бы вы проверили это до внесения изменений, вы могли бы использовать тестовую конечную точку на порту 8443. В Ruby (я не уверен, какой язык вы используете, но в любом случае это хороший пример), вы бы сделали это:

require 'twilio-ruby'
account_sid = "AC123..." # your Twilio account sid
auth_token = "xyzabc..." # your Twilio auth token

client = Twilio::REST::Client.new(account_sid, auth_token, port: 8443)

Затем выполните любой вызов API и убедитесь, что он работает через этот порт.

client.messages.list

Если это работает, то вы в безопасности и вам не о чем беспокоиться.