Magento - PayPal - SSLV3: Чи буде він працювати, коли PayPal припинить SSL3 3 грудня?

Я тільки що отримав електронний лист від PayPal, вказуючи через уразливість Poodle, що вони припинять підтримку SSLV3, використовуючи API оплати з 3 грудня 2014 року.

Просто хотілося поставити його там і запитати, якщо хтось знає, якщо це безпосередньо вплине на PayPal Оплата Pro/Hosted Рішення/Експрес інтеграції платежів в Magento 1.9.0.1 (останні)?

Якщо так - у кого є ідея, як я можу йти про фіксацію стандартних модулів paypal в magento?

Дякую!

15
У Stack Overflow вже є кілька тем про це. По суті, вам просто потрібно підключитися до API PayPal через TLS, використовуючи cURL - однак це відбувається.
додано Автор Jon Galloway, джерело
Привіт Benmarks .. Я зробив пошук по цьому, але насправді не на сайті переповнення стека, тільки частина magento. Я тільки що намагався шукати ці теми, щоб побачити, якщо я можу зробити більше тестування, але не можу знайти їх, не могли б ви, будь ласка, передайте мені деякі посилання? Дякую!
додано Автор bmdhacks, джерело

7 Відповіді

Як я розумію (і, будь ласка, виправте мене, якщо я помиляюся), це насправді ваша хостингова компанія (якщо на спільній платформі) або ви самі, якщо на VPS або виділений сервер, наприклад, що б відключити SSLv3. Ваш веб-хост повинен зробити це, якщо вони ще не зробили цього, і якщо ви несете відповідальність за свій власний сервер, то я вважаю, що ви можете змінити ваш httpd.conf і додати наступне;

SSLProtocol ALL -SSLv2 -SSLv3

Це призведе до відключення v2 і v3, і я вважаю, що TLS є стандартним резервним з'єднанням.

Це, якщо конфігурація Apache, так що якщо ви використовуєте щось інше, то код може трохи змінитися, але, сподіваюся, це допоможе вам трохи, але я був би вдячний, щоб почути вхід інших людей на це також.

2
додано
ай! Спасибі за це Тоні - я думаю, що це має сенс для мене зараз. Тому нічого спільного з тим, як Magento взагалі кодується, але має все, що пов'язано з тим, як хостингова компанія налаштувала, який SSL (або тепер не використовує SSL).
додано Автор bmdhacks, джерело
Тоні, ти повернув його назад. Ви згадали серверну сторону SSLv3 для вхідних запитів, а не серверні ініційовані запити. Електронна адреса PayPal стосується останнього.
додано Автор Ramesh, джерело
Для вашої інформації, ви можете перевірити, чи в даний час ваш веб-сервер має SSLv2 або SSLv3, задіяний на цьому сайті. = "nofollow noreferrer"> foundeo.com/products/iis-weak-ssl-ciphers/test.cfm
додано Автор Teecup, джерело
Так, дуже багато входу в систему, symantec також випустили інструмент перевірки. Я виконав зміни, описані вище на VPS у мене є і його pasdsed обидва перевірки тепер, тому я не повинен мати ніяких проблем.
додано Автор Teecup, джерело
choco-loo, якщо мій сервер ініціює вихідний запит, але не має SSLv3 включений, то він не може використовувати його правильно? Також браузери і платіжні шлюзи припиняють підтримку SSLv3 теж, так чи не зупиняє це всі шляхи? Я не вірю, що Magento навіть використовує певний протокол, але я намагаюся переконатися, що все безпечно. Будьте зацікавлені дізнатися свої думки, якщо у вас є час.
додано Автор Teecup, джерело
choco-loo спасибі за ваше оновлення внизу, я можу оцінити його як очевидно I havent ударяють магічне число 15 все ще! Я читав цю точну річ сьогодні вранці і все добре з моїм сайтом :) Велике спасибі за ваш час.
додано Автор Teecup, джерело

Залиште цей код:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

у файлі з ім'ям paypal-tls-test.php в кореневому каталозі вашого сайту Magento. Потім наведіть на нього ваш браузер, як http://www.yoursite.com/paypal-tls- test.php . Сценарій намагається підключитися до пісочниці PayPal, яка більше не підтримує SSLv3. Якщо це робить успішне з'єднання, то це гарна ознака ви будете в порядку. Якщо ні, то у вас є робота. Це, звичайно, припускає, що фактичний протокол не жорстко закодований в Magento де-небудь (скрипт перевіряє здатність вашого сервера здійснювати з'єднання.)

1
додано
Цей сценарій говорить мені "не вплинув", а poodlescan.com говорить: "Цей сервер підтримує протокол SSL v3" => ВЯЗКОВІ.
додано Автор Polsonby, джерело

Його все в CURL підключення. Необхідно перевірити, чи підтримує бібліотека лотків на клієнтських серверах TLS (таким чином, щоб вона містила резервні копії).

Створіть простий скрипт PHP CURL з таким визначенням, щоб примусити TLS

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

Якщо це буде успішно, вам нема чого турбувати. Якщо ні, то ймовірно вам знадобиться перекомпіляція libcurl і openssl

0
додано

Я додав наступний рядок:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

в тестовий PHP-скрипт. Це результат після його виконання через браузер:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

чи це добре? Чи можу я працювати з моєю версією curl 7.33.0 і paypal після 3-го грудня? Думаю, так!

З повагою JJ

0
додано

Наскільки я можу сказати, на стародавній моїй клієнтській установці Magento 1.4.1.1, основні комунікації Paypal (через curl) не примушують будь-якого конкретного протоколу, так що curl повинен використовувати TLS, коли підтримка Paypal для SSLv3.

Я здогадуюсь я буду знаходити напевно на 3 грудні.

0
додано
Вона вже має використовувати TLS, але це вразливо для MITM, що змушує його відкочуватися від TLS до SSLv3, що не працює ... На 12/3, серверна сторона відмовиться від відкату до SSL. Якщо взагалі можливо, ви хочете виправити вашу сторону клієнта, щоб не дозволити відкат зараз , щоб забезпечити захист, поки Paypal, нарешті, не виправить їхню сторону.
додано Автор Zoe.e.a.d., джерело

Відредагуйте httpd.conf і додайте наступний код:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

Ви також можете зробити це за допомогою WHM, якщо у вас є VPS або виділений сервер:

Go to Service Configuration -> Apache Configuration -> Include Editor -> Pre Main Include

і додайте наведені вище дві лінії.

Тоді ви можете підключитися до пісочниці PayPal, щоб перевірити, чи вимкнено SSLv3, або ви можете додати код, який Рендалл Герцлер запропонував у відповіді.

Я зробив сам вище і він працює нормально.

0
додано

Так що мій менеджер PayPal закликає мене сьогодні і повідомляє, що мої веб-сайти використовують ssl 3.0/poodle і не працюватимуть після міграції на Dec.3

Вони вказують мені на всі ці документи, які в основному кажуть, що якщо я можу зателефонувати на сервер розвитку пісочниці і отримати прийнятний відповідь, то все повинно бути добре.

Я не змінив абсолютно нічого в коді, ані в конфігурації сервера. Я перевірив на сервері розвитку пісочниці, і все проходить ідеально. Magento ver. 1.4.1.0

Чи означає це, що все повинно бути OK OK Dec.3?

Note, all my websites still giving me the below messages when running through https://www.poodlescan.com/

"Цей сервер підтримує протокол SSL v3." "Цей сервер підтримує протокол SSL v2. Ви повинні дійсно відключити цей протокол."

Будь-яка допомога буде дуже вдячна.

0
додано
Це означає, що ваш сайт вже може виконувати TLS, але є вразливим для людини в середній атаці, яка змушує вас перейти до SSL, а потім пошкодити потік даних. Ваші речі не перервуться, коли інша сторона буде оновлена, але ви також не захищені.
додано Автор Zoe.e.a.d., джерело