Heroku和Twilio新的SHA2簽名證書

Question

大約一週前，我從Twilio得到了下面的電子郵件，告訴我有關使用舊版SSL客戶端庫的應用程序的安全更新和兼容性問題的可能性。我的應用程序託管在Heroku上，未使用自定義域並在其SSL上捎帶。這個問題對我來說不是問題，是嗎？ Heroku通常處於安全性的最前沿，但使用Google搜索時，我只能找到有關在Heroku上爲自定義域設置SSL的信息。有人有主意嗎？

Twilio查看在線提醒：安全證書的變化

這是一個提醒，在2015年12月1日下午4:30 PT，我們會 更新api.twilio.com與SHA2-簽名證書，加密技術的重大改進之處在於 。從2015年10月8日的官方聲明 ：儘管絕大多數應用程序不會以任何方式受到影響，但使用舊版SSL客戶端庫的應用程序可能會遇到兼容性問題。至 驗證您的應用程序是否與新證書 兼容，我們在api.twilio.com:8443處提供了一個測試API端點。請注意0​​此端點使用與當前默認端口 443不同的端口。確保在Twilio SDK中指定了該端口。

驗證端點將於2015年12月1日棄用，此時 將新的SHA2簽名證書部署到主要Twilio API 端點（端口443）。如果您有 任何問題，請通過help@twilio.com告訴我們。我們一直在傾聽，我們在這裏提供幫助。

乾杯，團隊Twilio

Answer 1

Twilio開發者傳道這裏。

此警告不是關於您的域，而是您在其上向Twilio發出API請求的平臺上的SSL庫。

既然你發佈了這個問題不久，在切斷來了，它現在已經消失了，我不能給你建議在​​舊證書被刪除之前測試這個問題。基本上，到現在爲止，如果您在應用程序中沒有發現任何調用Twilio API的錯誤，那麼您是安全的。

正如你所說，Heroku通常處於這種情況之上，並保持SSL庫處於最新狀態，所以你應該沒有什麼可擔心的。我剛剛製作了一個測功機，並進行了一些測試，一切似乎都正常，所以我懷疑你沒有什麼可擔心的。

如果您在更改之前已經測試過了，可以在端口8443上使用測試端點。在Ruby中（我不確定您使用的是哪種語言，但它總是一個很好的例子）你可以這樣做：

require 'twilio-ruby' 
account_sid = "AC123..." # your Twilio account sid 
auth_token = "xyzabc..." # your Twilio auth token 

client = Twilio::REST::Client.new(account_sid, auth_token, port: 8443) 

然後，調用API並檢查它是否在此端口上工作。

client.messages.list 

如果它確實有效，那麼你是安全的，沒有什麼可擔心的。