Magento - PayPal - SSLV3: Funktioniert es, wenn PayPal SSL3 am 3. Dezember einstellt?

15

Ich habe soeben eine E-Mail von PayPal erhalten, in der angegeben wird, dass aufgrund einer Pudel-Sicherheitslücke der Support für SSLV3 mithilfe der Zahlungs-API ab dem 3. Dezember 2014 eingestellt wird.

Wollten Sie es nur veröffentlichen und fragen, ob jemand weiß, ob sich dies direkt auf die Integration von PayPal Payment Pro / Hosted Solution / Express-Zahlungen in Magento 1.9.0.1 (aktuell) auswirkt?

Wenn ja - hat jemand eine Idee, wie ich die Standard-Paypal-Module in Magento reparieren kann?

Vielen Dank!

Anmelde-ID
quelle
Bei Stack Overflow gibt es bereits mehrere Threads dazu. Im Wesentlichen müssen Sie sich nur mit cURL über TLS mit der PayPal-API verbinden - dies ist jedoch der Fall.
benmarks
Hallo Benmarks .. Ich habe eine Suche auf dieser aber nicht wirklich auf der Stack Overflow Seite gemacht, nur auf dem Magento Teil. Ich habe gerade versucht, nach diesen Threads zu suchen, um zu sehen, ob ich mehr Tests durchführen kann, aber sie scheinbar nicht finde. Könnten Sie mir bitte einige Links geben? Vielen Dank!
loginid

Antworten:

2

So wie ich es verstehe (und bitte korrigiere mich, wenn ich mich irre), ist es in Wirklichkeit dein Hosting-Unternehmen (wenn es sich um eine gemeinsam genutzte Plattform handelt) oder du selbst, wenn es sich zum Beispiel um einen VPS- oder dedizierten Server handelt, der SSLv3 deaktivieren müsste. Ihr Webhost sollte dies tun, falls dies noch nicht geschehen ist und Sie für Ihren eigenen Server verantwortlich sind. Ich glaube, Sie können Ihre httpd.conf ändern und Folgendes hinzufügen.

SSLProtocol ALL -SSLv2 -SSLv3

Dies wird v2 und v3 deaktivieren und ich glaube, dass TLS die Standard-Fallback-Verbindung ist.

Dies ist, wenn Apache Config so ist, wenn Sie etwas anderes verwenden, dann kann sich der Code geringfügig ändern, aber hoffentlich hilft dies Ihnen ein wenig, aber ich wäre dankbar, wenn andere Leute dies ebenfalls hören würden.

Tony Pollard
quelle
Zu Ihrer Information können Sie testen, ob auf Ihrem Webserver derzeit SSLv2 oder SSLv3 aktiviert ist. Verwenden Sie hierzu die Website foundeo.com/products/iis-weak-ssl-ciphers/test.cfm
Tony Pollard,
ahuh! Vielen Dank dafür, Tony. Ich denke, das macht jetzt Sinn für mich. Es hat also nichts mit der Art und Weise zu tun, wie Magento überhaupt codiert ist, sondern mit der Art und Weise, wie das Hosting-Unternehmen konfiguriert hat, welches SSL (oder welches gerade kein SSL verwendet) verwendet wird.
loginid
Tony, du hast es wieder in den Griff bekommen. Sie haben serverseitiges SSLv3 für eingehende Anforderungen erwähnt, nicht für vom Server initiierte ausgehende Anforderungen. Die PayPal-E-Mail bezieht sich auf Letzteres.
choco-loo
Ja, so ziemlich loginid, Symantec hat auch ein Überprüfungstool veröffentlicht. Ich habe die oben beschriebene Änderung an einem VPS durchgeführt, den ich habe, und beide Prüfungen wurden jetzt durchgeführt, sodass ich keine Probleme haben sollte.
Tony Pollard
choco-loo, wenn mein Server eine ausgehende Anfrage initiiert, SSLv3 aber nicht aktiviert ist, kann er es nicht richtig verwenden? Auch Browser und Zahlungsgateways stellen die Unterstützung für SSLv3 ein. Ich glaube nicht, dass Magento überhaupt ein bestimmtes Protokoll verwendet, aber ich versuche sicherzustellen, dass alles sicher ist. Seien Sie interessiert, Ihre Gedanken zu kennen, wenn Sie Zeit haben.
Tony Pollard
1

Löschen Sie diesen Code:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

in einer Datei namens paypal-tls-test.php im Stammverzeichnis Ihrer Magento-Site. Dann zeigen Sie mit Ihrem Browser auf http://www.yoursite.com/paypal-tls-test.php . Das Skript versucht, eine Verbindung zur PayPal-Sandbox herzustellen, die SSLv3 nicht mehr unterstützt. Wenn die Verbindung erfolgreich hergestellt wurde, ist dies ein guter Hinweis darauf, dass Sie in Ordnung sind. Wenn nicht, müssen Sie noch arbeiten. Dies setzt natürlich voraus, dass das eigentliche Protokoll in Magento nicht fest codiert ist (das Skript überprüft die Fähigkeit Ihres Servers, die Verbindung herzustellen.)

Randall Hertzler
quelle
Dieses Skript sagt mir "nicht betroffen", während poodlescan.com sagt "Dieser Server unterstützt das SSL v3-Protokoll." => VERWUNDBAR.
PiTheNumber
0

Es ist alles in der CURL verbinden. Was Sie überprüfen müssen, ist, dass die clientseitige Curl-Bibliothek Ihres Servers TLS unterstützt (damit sie zurückgreifen kann).

Erstellen Sie ein einfaches PHP-CURL-Skript mit der folgenden Definition, um TLS zu erzwingen:

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

Wenn Sie erfolgreich sind, brauchen Sie sich keine Sorgen zu machen. Andernfalls benötigen Sie wahrscheinlich eine Neukompilierung von libcurl und openssl

Schoko-Klo
quelle
0

Soweit ich weiß, erzwingt die Paypal-Kernkommunikation (über Curl) im alten Magento 1.4.1.1-Setup meines Clients kein bestimmtes Protokoll. Daher sollte Curl TLS verwenden, wenn Paypal SSLv3 unterstützt.

Ich denke, ich werde es am 3. Dezember mit Sicherheit herausfinden.

Klüger werden
quelle
Es sollte jetzt schon TLS verwenden, ABER es ist anfällig für das MITM, das es zwingt, ein Rollback von TLS auf SSLv3 durchzuführen, was fehlerhaft ist ... Am 3. Dezember wird die Serverseite ein Rollback auf SSL ablehnen. WENN überhaupt möglich, möchten Sie Ihre Client-Seite reparieren, damit Rollback jetzt keinen Schutz bietet, bis Paypal die Seite endgültig repariert .
Brian Knoblauch
0

Ich habe folgende Zeile hinzugefügt:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

in ein Test-PHP-Skript. Dies ist das Ergebnis, nachdem es über einen Browser ausgeführt wurde:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

ist das ok? Könnte ich auch nach dem 3. Dezember mit meiner Curl 7.33.0 Version und Paypal arbeiten? Ich denke ja!

Grüße JJ

user16279
quelle
0

Mein Paypal Account Manager ruft mich heute an und teilt mir mit, dass meine Websites SSL 3.0 / Pudel verwenden und nach der Migration am 3. Dezember nicht mehr funktionieren

Sie weisen mich auf all diese Dokumente hin, die im Grunde genommen besagen, dass alles in Ordnung sein sollte, wenn ich den Entwicklungs-Sandbox-Server anrufen und eine akzeptable Antwort erhalten kann.

Ich habe absolut nichts am Code noch an der Serverkonfiguration geändert. Ich habe auf dem Entwicklungs-Sandbox-Server getestet und alles läuft einwandfrei. Magento ver. 1.4.1.0

Bedeutet dies, dass alles in Ordnung sein sollte, wenn der 3. Dezember kommt?

Beachten Sie, dass alle meine Websites mir bei der Ausführung über https://www.poodlescan.com/ immer noch die folgenden Meldungen anzeigen.

"Dieser Server unterstützt das SSL v3-Protokoll." "Dieser Server unterstützt das SSL v2-Protokoll. Sie sollten dieses Protokoll wirklich deaktivieren."

Jede Hilfe wäre sehr dankbar.

Alvin
quelle
Dies bedeutet, dass Ihre Site bereits TLS-fähig ist, aber für einen Mann in der Mitte des Angriffs anfällig ist, der Sie zu SSL zwingt und dann den Datenstrom knackt. Ihre Sachen werden nicht kaputt gehen, wenn die andere Seite aktualisiert wird, aber Sie sind auch nicht sicher.
Brian Knoblauch
0

Bearbeiten Sie die httpd.conf von Apache und fügen Sie den folgenden Code hinzu:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

Sie können dies auch über WHM tun, wenn Sie einen VPS- oder dedizierten Server haben:

Gehen Sie zu Service-Konfiguration -> Apache-Konfiguration -> Include-Editor -> Pre-Main-Include

und füge die beiden obigen Zeilen hinzu.

Anschließend können Sie eine Verbindung zur PayPal-Sandbox herstellen, um zu testen, ob SSLv3 deaktiviert wurde, oder den Code hinzufügen, den Randall Hertzler in seiner Antwort vorgeschlagen hat.

Ich habe das oben selbst gemacht und es funktioniert gut.

Mike
quelle