Magento - PayPal - SSLV3: Чи буде працювати, коли PayPal скасує SSL3 3 грудня?

15

Щойно я отримав електронний лист від PayPal, в якому вказується через вразливість пуделя, з 3 грудня 2014 року вони припинять підтримку SSLV3, використовуючи свій платіжний API.

Просто хотів викласти його там і запитати, чи хтось знає, чи це безпосередньо вплине на інтеграцію платежів PayPal Pro / Хостинг Рішення / Експрес-платежі в Magento 1.9.0.1 (останнє)?

Якщо так - хтось має уявлення, як я можу йти про виправлення стандартних модулів paypal в magento?

Спасибі!

paypal

— ім'я користувача
джерело

Про це вже є декілька потоків у "Переповнення стека". По суті, вам просто потрібно підключитися до API PayPal через TLS за допомогою cURL - однак це відбувається.

— орієнтири

Привіт Бенкери .. Я робив пошук на цьому, але насправді не на сайті переповнення стека, просто на магентську частину. Я просто спробував шукати ці теми, щоб побачити, чи можу я зробити більше тестування, але не можу їх знайти, чи не могли б ви передати мені деякі посилання? Спасибі!

— логін

2

Як я розумію (і, будь ласка, виправте мене, якщо я помиляюся), що насправді це ваша хостингова компанія (якщо на спільній платформі) або ви самі, якщо на VPS або на виділеному сервері, наприклад, що доведеться вимкнути SSLv3. Ваш веб-хост повинен зробити це, якщо вони цього ще не зробили, і якщо ви відповідаєте за свій власний сервер, я вважаю, ви можете змінити свій httpd.conf і додати наступне;

SSLProtocol ALL -SSLv2 -SSLv3

Це відключить v2 та v3, і я вважаю, що TLS є стандартним резервним з'єднанням.

Це якщо конфігурація Apache, тому якщо ви використовуєте щось інше, код може дещо змінитись, але, сподіваємось, це вам трохи допоможе, але я буду вдячний почути, що й інші люди в цьому питанні.

— Тоні Поллард
джерело

Для вашої інформації ви можете перевірити, чи на Вашому веб-сервері ввімкнено SSLv2 або SSLv3 за допомогою цього сайту foundeo.com/products/iis-weak-ssl-ciphers/test.cfm

— Tony Pollard

ах! Дякую за це, Тоні - я думаю, це зараз для мене має сенс. Тож це не має нічого спільного з тим, що Magento кодується зовсім, але має все спільне з тим, як хостинг-компанія налаштувала, який SSL (або не використовує SSL зараз).

— логін

Тоні, ти повернеш його на фронт. Ви згадали про сервер SSLv3 для вхідних запитів, а не ініційованих сервером вихідних запитів. Електронний лист PayPal стосується останнього.

— choco-loo

Так, дуже багато логінів, symantec також випустив інструмент перевірки. Я здійснив описані вище зміни на VPS, який у мене є, і його передано обидві чеки зараз, так що я не повинен мати жодних проблем.

— Тоні Поллард

choco-loo, якщо мій сервер ініціює вихідний запит, але у нього не включений SSLv3, то він не може використовувати його правильно? Також браузери та шлюзи платежів припиняють підтримку SSLv3, тож чи це не зупиняє все навколо? Я не вірю, що Magento навіть використовує певний протокол, але я намагаюся переконатися, що все в безпеці. Будьте зацікавлені дізнатися свої думки, якщо у вас є час.

— Тоні Поллард

1

Відкиньте цей код:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

у файлі з іменем paypal-tls-test.php у корені вашого сайту Magento. Потім наведіть на нього веб-переглядач, як http://www.yoursite.com/paypal-tls-test.php . Сценарій намагається встановити з'єднання з пісочницею PayPal, яка більше не підтримує SSLv3. Якщо це з'єднання вдале, то це добре свідчить про те, що ви будете в порядку. Якщо ні, то вам належить попрацювати. Звичайно, це передбачає, що фактичний протокол десь не жорстко кодується в Magento (сценарій перевіряє здатність вашого сервера встановити з'єднання.)

— Рандалл Герцлер
джерело

Цей сценарій каже мені "не впливає", тоді як poodlescan.com каже "Цей сервер підтримує протокол SSL v3." => ВІДМОВИЙ.

— PiTheNumber

0

Його все в CURL з'єднати. Що вам потрібно перевірити, це те, що ваша серверна бібліотека завитків на стороні клієнта підтримує TLS (щоб вона могла бути резервною).

Складіть простий скрипт PHP CURL із наступним визначенням, щоб змусити TLS,

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

У разі успіху вам нічого не турбуватися. Якщо ні, вам, ймовірно, знадобиться перекомпіляція libcurl і openssl

— чоко-лу
джерело

0

Наскільки я можу сказати, у стародавній установці Magento 1.4.1.1 мого клієнта основні комунікації Paypal (через curl) не вимагають конкретного протоколу, тому curl повинен використовувати TLS, коли Paypal перебуває у підтримці SSLv3.

Напевно, я дізнаюся точно 3 грудня.

— Стають мудрішими
джерело

Він уже повинен використовувати TLS, але він вразливий до того, що MITM змушує його відкати з TLS на SSLv3, який порушено ... 12/3 сторона сервера відмовиться від відкату до SSL. ЯКЩО взагалі можливо, ви хочете виправити свою сторону клієнта, щоб не дозволяти відкату зараз, щоб забезпечити захист, поки Paypal остаточно не виправить їх сторону.

— Брайан Кноблауч

0

Я додав наступний рядок:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

в тестовий php-скрипт. Це результат після його виконання через браузер:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

чи це добре? Чи можу я працювати з моєю версією curl 7.33.0 і paypal також після 3-го грудня? Я здогадуюсь так!

З повагою JJ

— користувач16279
джерело

0

Тож мене менеджер акаунтів Paypal зателефонував мені сьогодні і каже, що мої веб-сайти використовують ssl 3.0 / пудель і не працюватимуть після міграції 3 грудня

Вони вказують мені на всі ці документи, які в основному говорять про те, що якщо я можу зателефонувати на сервер пісочниці розробки та отримати прийнятну відповідь, тоді все повинно бути нормально.

Я абсолютно нічого не змінив ні в коді, ні в конфігурації сервера. Я протестував на сервері пісочниці розробки і все проходить ідеально. Magento ver. 1.4.1.0

Чи означає це, що все повинно бути добре? 3 грудня?

Зауважте, усі мої веб-сайти все ще надають мені нижче наведені нижче повідомлення під час роботи через https://www.poodlescan.com/

"Цей сервер підтримує протокол SSL v3." "Цей сервер підтримує протокол SSL v2. Справді слід вимкнути цей протокол."

Будь-яка допомога буде дуже вдячна.

— Елвін
джерело

Це означає, що ваш сайт вже здатний робити TLS, але він вразливий для людини в атаці посередині, яка змушує вас перейти до SSL і потім зламати потік даних. Ваші речі не зламаються, коли інша сторона буде оновлена, але ви також не захищені.

— Брайан Кноблауч

0

Відредагуйте httpd.conf Apache та додайте наступний код:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

Ви також можете це зробити через WHM, якщо у вас є VPS або виділений сервер:

Перейдіть до Конфігурація служби -> Конфігурація Apache -> Включити редактор -> Попередньо включити

і додайте вищевказані два рядки.

Потім ви можете підключитися до пісочниці PayPal, щоб перевірити, чи SSLv3 відключений, або ви можете додати код, запропонований Рандалл Герцлер у своїй відповіді.

Я все зробив вище, і це прекрасно працює.

— Майк
джерело