0

大约一周前,我收到了以下来自Twilio的电子邮件,告诉我有关安全更新以及使用旧 SSL 客户端库的应用程序可能出现的兼容性问题。我的应用程序托管在Heroku上,没有使用自定义域并搭载他们的 SSL。这个问题对我来说不是问题,是吗?Heroku 通常在安全性方面处于领先地位,并且在这些方面是最新的,但谷歌搜索我只能找到有关在 Heroku 上为自定义域设置 SSL 的信息。有人有想法么?

Twilio 查看在线提醒:安全证书更改

这提醒您,太平洋时间 2015 年 12 月 1 日下午 4:30,我们将使用 SHA2 签名证书更新 api.twilio.com,这是对加密技术的重大改进。来自 2015 年 10 月 8 日的官方公告:尽管绝大多数应用程序不会受到任何影响,但使用旧 SSL 客户端库的应用程序可能会遇到兼容性问题。为了验证您的应用程序是否与新证书兼容,我们在 api.twilio.com:8443 提供了一个测试 API 端点。请注意,此端点使用与当前默认端口 443 不同的端口。确保在 Twilio SDK 中指定该端口。

当新的 SHA2 签名证书部署到主 Twilio API 端点(端口 443)时,验证端点将在 2015 年 12 月 1 日被弃用。如果您有任何问题,请通过 help@twilio.com 告诉我们。我们一直在倾听,我们随时为您提供帮助。

干杯, Twilio 团队

4

1 回答 1

1

Twilio 开发人员布道者在这里。

此警告与您的域无关,而是您向 Twilio 发出 API 请求的平台上的 SSL 库。

由于您在截止日期前不久发布了这个问题,现在它已经消失了,我无法在旧证书被删除之前给您测试这个问题的建议。基本上,到目前为止,如果您在调用 Twilio API 的应用程序中没有看到任何错误,那么您是安全的。

正如你所说,Heroku 通常会处理这些事情,并保持他们的 SSL 库是最新的,所以你应该没有什么可担心的。我只是旋转了一个测功机并进行了一些测试,一切似乎都运行良好,所以我怀疑你没有什么可担心的。

如果您要在进行更改之前对此进行测试,您可以使用端口 8443 上的测试端点。在 Ruby 中(我不确定您使用的是什么语言,但无论如何这是一个很好的例子)您会这样做:

require 'twilio-ruby'
account_sid = "AC123..." # your Twilio account sid
auth_token = "xyzabc..." # your Twilio auth token

client = Twilio::REST::Client.new(account_sid, auth_token, port: 8443)

然后,对 API 进行任何调用并检查它是否在此端口上工作。

client.messages.list

如果它确实有效,那么你是安全的,没有什么可担心的。

于 2015-12-02T05:45:47.830 回答