20141126 - Désactivation de SSLv3 sur Paypal
Suite à la faille Poodle, découverte en octobre, Paypal annonce qu'il désactivera SSLv3 le 3 décembre 2014.
Quelles conséquences ?
Cette mise à jour impactera :
- Les internautes : spécifiquement les internautes utilisant un navigateur
ne suppostant pas TLSv1 ou supérieur. IE6 est tout particulièrement visé, ne supportant
pas TLSv1 par défaut.
- Les serveurs utilisant une API Paypal pour communiquer avec le marchand :
Les clients SSL (par exemple curl ou wget) doivent alors supporter TLSv1 ou
supérieur
- Les serveurs qui reçoivent des requêtes de Paypal (confirmation de paiement par exemple) doivent supporter TLSv1.
Les recommandations de TBS CERTIFICATS
TBS a déjà communiqué sur les risques liés à l'utilisation de protocoles obsolètes. Voici ce que nous préconisons :
- La désactivation de SSLv2/SSLv3 côté serveur
- Utilisation de notre outil CopiBot (notre analyseur de SSL) qui vous permettra de vérifier que vos sites sont correctement configurés.
Liens externes
Dernière modification le 02/11/2018 11:11:47 --- [Chercher]