Vulnerabilidade POODLE SSL 3.0

Vulnerabilidade POODLE SSL 3.0
Guia de Resposta do Vendedor
Visão geral
O que é o POODLE?
O POODLE é uma vulnerabilidade de segurança da Internet que afeta o protocolo Secure Sockets Layer (SSL)
3.0, que foi concebido para garantir a segurança das ligações ao navegar na Internet. Quando explorada, esta
vulnerabilidade permite que os cibercriminosos possam ter acesso às ligações consideradas seguras através
deste protocolo de segurança abrangente (mas que conta já com 15 anos).
Qual é a resposta do PayPal?
O PayPal irá desativar completamente o suporte ao SSL 3.0. Infelizmente, sabemos que ao encerrarmos o SSL
3.0 poderemos causar problemas de compatibilidade para alguns dos nossos clientes, resultando na
incapacidade de pagar com PayPal em alguns sites de comerciantes ou noutros problemas de processamento
que ainda estamos a identificar. Para ativar a sua avaliação e potencial resolução, elaborámos este Guia de
Resposta do Vendedor de forma a assegurar que a sua integração é segura face a esta vulnerabilidade.
Através dos canais apropriados, planeamos manter os nossos clientes atualizados sobre a forma como estamos
a abordar este problema, incluindo a comunidade PayPal Forward, a nossa conta do Twitter, o Serviço de Apoio
ao Cliente e através da nossa equipa de Serviços para Vendedores tendo em vista os comerciantes.
Agradecemos a sua paciência e compreensão enquanto trabalhamos intensamente para o servir melhor e para o
manter a si e aos nossos consumidores em segurança.
O que tem de fazer
Caso não faça a gestão do seu site ou da Integração do PayPal, recomendamos-lhe vivamente que trabalhe em
conjunto com o seu parceiro de serviços Web (programador, empresa de alojamento, plataforma de comércio
eletrónico, etc.) e que partilhe este Guia de Resposta do Vendedor, que contém as diretrizes básicas sobre como
fazer a atualização para TLS. Se o seu parceiro de serviços Web tiver qualquer questão ou necessitar de apoio,
pode entrar em contacto com a nossa equipa de Apoio Técnico a Vendedores em www.paypal.com/mts.
1. Teste a sua integração atual no modo Sandbox do PayPal
Se está integrado diretamente com o PayPal, siga os seguintes passos:
NOTE:
a.
Estamos a trabalhar com os nossos parceiros para resolver o problema do SSL 3.0. Se está integrado
através de um Parceiro ou através de um sistema de terceiros, recomendamos que trabalhe com o seu
Parceiro para garantir que já não está a usar o SSL 3.0. Se estiver a usar componentes transferíveis ou
uma solução que não se encontre alojada, pode ter de atualizar ou transferir a versão mais recente.
Aponte o seu ambiente de teste para a nossa Sandbox. Para mais informações, consulte:
https://developer.paypal.com/docs/classic/lifecycle/ug_sandbox/
-
b.
O SSL 3.0 já foi desativado na Sandbox do PayPal. Deste modo, se conseguir realizar com êxito um
pedido de Interface de Programação de Aplicações (API), não estará a usar SSL 3.0.
Se o seu pedido falhar, verifique os registos para ver qual foi o motivo.
-
Caso veja algum erro semelhante aos apresentados abaixo, então estará a usar SSL 3.0 e terá de
configurar a sua ligação segura para usar Transport Layer Security (TLS).
Copyright ©2014 PayPal Inc. Todos os direitos reservados.
Vulnerabilidade POODLE SSL 3.0 - Guia de Resposta do Vendedor | 1
* Unknown SSL protocol error in connection to api-3t.sandbox.paypal.com:-9824
OU
140062736746144:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version
number:s3_pkt.c:337:
...
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol: SSLv3
...
2. Atualização para TLS
É necessário que todos os clientes PayPal desativem o SSL 3.0 para interações com o cliente e que façam a
atualização para TLS até 3 de dezembro de 2014. A tabela que se segue fornece orientações básicas sobre
como fazer a atualização para TLS usando linguagens e métodos de ligação comuns. No entanto, as suas
definições exatas podem variar.
NOTE:
Para obter instruções de atualização detalhadas para os SDK e idiomas indicados abaixo, consulte
https://ppmts.custhelp.com/app/answers/detail/a_id/1182.
Método de
ligação
Ação
PayPal SDK
Nenhuma das versões ou linguagens do Kit de Desenvolvimento de Software (SDK) usa SSL 3.0. No
entanto, uma vez que os SDK de Java e PHP foram recentemente atualizados para lidar com este
problema, todos os comerciantes que estejam a usar estes SDK ou SDK antigos (anteriores a 21 de
outubro de 2014) terão de fazer a atualização para a versão mais recente. Se não tem a certeza de que
está a usar o SDK mais recente, teste a sua integração no ambiente da Sandbox, conforme explicado no
passo 1.
 Para mais informações sobre as versões mais recentes do SDK, consulte:
http://paypal.github.io/sdk/#merchant
Terminal API
Certifique-se de que está a ligar-se aos terminais do PayPal usando TLS. Consulte a tabela abaixo para
definir o protocolo TLS para a linguagem que irá usar. Caso o seu ambiente ofereça o suporte
necessário, não faça a codificação para uma versão específica de TLS pois o protocolo irá optar
automaticamente pela versão mais recente.
Linguage
m
Ação
Ruby
Defina o protocolo TLS no OpenSSL::SSL::SSLContext.
 Para mais informações, consulte:
http://ruby-doc.org/stdlib-1.9.3/libdoc/openssl/rdoc/OpenSSL/SSL/SSLContext.html
Python
Defina o protocolo TLS no ssl.SSLContext.
 Para mais informações, consulte:
https://docs.python.org/2/library/ssl.html#ssl.SSLContext
Node.js
Use o limite de renegociação correto conforme especificado aqui:
 http://nodejs.org/api/tls.html#tls_client_initiated_renegotiation_attack_mitigation
PHP
Defina CURLOPT_SSLVERSION para CURL_SSLVERSION_TLSv1 nas suas opções de
Curl.
 Para mais informações, consulte:
http://curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html
Copyright ©2014 PayPal Inc. Todos os direitos reservados.
Vendedor
Vulnerabilidade POODLE SSL 3.0 - Guia de Resposta do
| 2
Java
Defina o protocolo TLS no javax.net.ssl.SSLContext.
 Para mais informações, consulte:
http://docs.oracle.com/javase/7/docs/technotes/guides/security/jsse/JSSERefGuide.html
C#
Use SecurityProtocolType Tls.
 Para mais informações, consulte:
http://msdn.microsoft.com/en‑us/library/system.net.securityprotocoltype%28v=vs.110%29.aspx
3. Emissão de novas credenciais (opcional)
Após ter testado e feito a atualização para TLS com êxito, poderá querer reemitir e fazer o download das novas
credenciais de API para quaisquer pedidos de API do PayPal. Este passo é altamente recomendado, mas não é
obrigatório. Deve tomar a sua decisão com base nos riscos para a sua empresa e clientes.



Se está a usar a autenticação por Certificado não é necessária mais nenhuma ação, uma vez que a
vulnerabilidade está no protocolo SSL 3.0 e não na conceção dos Certificados SSL.
Se está a usar uma autenticação de Assinatura, consulte:
https://developer.paypal.com/docs/classic/api/apiCredentials/
Se está a usar uma autenticação OAuth , consulte: https://developer.paypal.com/docs/integration/admin/manageapps/
Obrigado
Agradecemos a sua atenção imediata para este problema e a sua melhor compreensão pela nossa abordagem.
Apesar de reconhecermos que estas medidas necessárias podem causar problemas de compatibilidade, não
podemos deixar de realçar que esta inconveniência de curto-prazo é suplantada pela nossa promessa conjunta
aos nossos clientes de que manteremos as suas contas e os seus dados financeiros seguros.
Copyright ©2014 PayPal Inc. Todos os direitos reservados.
Vendedor
Vulnerabilidade POODLE SSL 3.0 - Guia de Resposta do
| 3