Heroku和Twilio新的SHA2签名证书

Question

大约一周前，我从Twilio得到了下面的电子邮件，告诉我有关使用旧版SSL客户端库的应用程序的安全更新和兼容性问题的可能性。我的应用程序托管在Heroku上，未使用自定义域并在其SSL上捎带。这个问题对我来说不是问题，是吗？ Heroku通常处于安全性的最前沿，但使用Google搜索时，我只能找到有关在Heroku上为自定义域设置SSL的信息。有人有主意吗？

Twilio查看在线提醒：安全证书的变化

这是一个提醒，在2015年12月1日下午4:30 PT，我们会 更新api.twilio.com与SHA2-签名证书，加密技术的重大改进之处在于 。从2015年10月8日的官方声明 ：尽管绝大多数应用程序不会以任何方式受到影响，但使用旧版SSL客户端库的应用程序可能会遇到兼容性问题。至 验证您的应用程序是否与新证书 兼容，我们在api.twilio.com:8443处提供了一个测试API端点。请注意0​​此端点使用与当前默认端口 443不同的端口。确保在Twilio SDK中指定了该端口。

验证端点将于2015年12月1日弃用，此时 将新的SHA2签名证书部署到主要Twilio API 端点（端口443）。如果您有 任何问题，请通过help@twilio.com告诉我们。我们一直在倾听，我们在这里提供帮助。

干杯，团队Twilio

Answer 1

Twilio开发者传道这里。

此警告不是关于您的域，而是您在其上向Twilio发出API请求的平台上的SSL库。

既然你发布了这个问题不久，在切断来了，它现在已经消失了，我不能给你建议在​​旧证书被删除之前测试这个问题。基本上，到现在为止，如果您在应用程序中没有发现任何调用Twilio API的错误，那么您是安全的。

正如你所说，Heroku通常处于这种情况之上，并保持SSL库处于最新状态，所以你应该没有什么可担心的。我刚刚制作了一个测功机，并进行了一些测试，一切似乎都正常，所以我怀疑你没有什么可担心的。

如果您在更改之前已经测试过了，可以在端口8443上使用测试端点。在Ruby中（我不确定您使用的是哪种语言，但它总是一个很好的例子）你可以这样做：

require 'twilio-ruby' 
account_sid = "AC123..." # your Twilio account sid 
auth_token = "xyzabc..." # your Twilio auth token 

client = Twilio::REST::Client.new(account_sid, auth_token, port: 8443) 

然后，调用API并检查它是否在此端口上工作。

client.messages.list 

如果它确实有效，那么你是安全的，没有什么可担心的。