Ruby Amazon S3 SDK 是否使用 SSLv3?

Does Ruby Amazon S3 SDK use SSLv3?

我有一个 Rails 应用程序,它使用 Amazon S3 进行图像上传存储。上传直接在浏览器中处理,文件操作在服务器端处理。 最近我收到一封自动邮件,说亚马逊停止支持 SSLv3。我想澄清我的应用程序是否会因此受到影响,因为我不确定它使用什么机制进行 ssl 握手。 先感谢您。

简答:视情况而定。

旧的 aws sdk 允许您提供(作为配置设置)要使用的 http 处理程序 - 答案取决于 http 处理程序用户。假设您使用的是默认的基于 net/http 的处理程序,那么它取决于您使用的 ruby 版本以及它是针对哪个 openssl 版本构建的。

从 ruby 2.1.4、2.0.0p594、1.9.3p550 开始,ruby 默认情况下将不允许 SSL3 连接(参见 the announcement)。如果您运行正在使用 ruby 的此类版本,则不应尝试 SSL3 连接,除非您特意这样做。

如果您使用较早的版本,那么 ruby 可能默认使用 SSLv3(取决于构建的 openssl 版本),但如果失败,它应该能够切换到更新的协议。我强烈建议您更新到您已经在使用的 ruby 系列中的最新版本,但我认为禁用 SSLv3 后您 运行 不会遇到问题。