Magento - PayPal - SSLV3: Apakah akan berfungsi ketika PayPal menghentikan SSL3 pada 3 Desember?


15

Saya baru saja menerima email dari PayPal yang menyatakan karena kerentanan Poodle, mereka akan menghentikan dukungan untuk SSLV3 menggunakan API pembayaran mereka mulai tanggal 3 Desember 2014.

Hanya ingin meletakkannya di sana dan bertanya apakah ada yang tahu apakah ini akan secara langsung mempengaruhi Pembayaran PayPal Pro / Solusi Hosted / Integrasi pembayaran ekspres di Magento 1.9.0.1 (terbaru)?

Jika demikian - ada yang punya ide bagaimana saya bisa memperbaiki modul paypal standar di Magento?

Terima kasih!


Sudah ada beberapa utas tentang ini di Stack Overflow. Pada dasarnya, Anda hanya perlu terhubung ke API PayPal melalui TLS menggunakan cURL - namun itu terjadi.
patokan

Hai Benmarks .. Saya melakukan pencarian pada ini tetapi tidak benar-benar di situs stack overflow, hanya bagian magento. Saya baru saja mencoba mencari utas tersebut untuk melihat apakah saya dapat melakukan lebih banyak pengujian tetapi sepertinya tidak dapat menemukannya, dapatkah Anda memberikan saya beberapa tautan? Terima kasih!
loginid

Jawaban:


2

Seperti yang saya mengerti (dan tolong perbaiki saya jika saya salah) bahwa sebenarnya perusahaan hosting Anda (jika pada platform bersama) atau Anda sendiri jika pada VPS atau server khusus misalnya yang harus menonaktifkan SSLv3. Host web Anda harus melakukan ini, jika mereka belum melakukannya, dan jika Anda bertanggung jawab untuk server Anda sendiri maka saya yakin Anda dapat memodifikasi httpd.conf Anda dan menambahkan yang berikut;

SSLProtocol ALL -SSLv2 -SSLv3

Ini akan menonaktifkan v2 dan v3 dan saya percaya bahwa TLS adalah koneksi cadangan standar.

Ini adalah jika konfigurasi Apache jadi jika Anda menggunakan sesuatu yang lain, maka kode mungkin sedikit berubah, tapi semoga ini sedikit membantu Anda, tetapi saya akan berterima kasih untuk mendengar masukan orang lain tentang ini juga.


Untuk informasi Anda, Anda dapat menguji apakah server web Anda saat ini memiliki SSLv2 atau SSLv3 diaktifkan menggunakan situs ini foundeo.com/products/iis-weak-ssl-ciphers/test.cfm
Tony Pollard

ah uh! Terima kasih untuk Tony - saya pikir itu masuk akal bagi saya sekarang. Jadi itu tidak ada hubungannya dengan cara Magento dikodekan sama sekali tetapi ada hubungannya dengan cara perusahaan hosting telah mengkonfigurasi SSL mana (atau tidak menggunakan SSL sekarang) yang digunakan.
loginid

Tony, kau mendapatkannya kembali ke depan. Anda telah menyebutkan sisi server SSLv3 untuk permintaan masuk, bukan permintaan keluar yang dimulai oleh server. Email PayPal terkait dengan yang terakhir.
choco-loo

Ya cukup banyak loginid, symantec juga telah merilis alat pemeriksaan. Saya melakukan perubahan yang saya jelaskan di atas pada VPS yang saya miliki dan pasdsed keduanya cek sekarang jadi saya seharusnya tidak memiliki masalah.
Tony Pollard

choco-loo, jika server saya memulai permintaan keluar, tetapi tidak memiliki SSLv3 diaktifkan, maka itu tidak dapat menggunakannya dengan benar? Juga browser dan gateway pembayaran juga tidak lagi mendukung SSLv3, jadi apakah ini tidak menghentikannya? Saya bahkan tidak percaya Magento menggunakan protokol tertentu, tapi saya mencoba memastikan semuanya aman. Tertarik untuk mengetahui pikiran Anda jika Anda punya waktu.
Tony Pollard

1

Lepaskan kode ini:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

dalam file bernama paypal-tls-test.php di root situs Magento Anda. Lalu arahkan browser Anda ke sana seperti http://www.yoursite.com/paypal-tls-test.php . Skrip mencoba membuat koneksi ke kotak pasir PayPal yang tidak lagi mendukung SSLv3. Jika koneksi berhasil, maka itu indikasi bagus Anda akan baik-baik saja. Jika tidak, ada pekerjaan yang harus Anda lakukan. Ini tentu saja mengasumsikan bahwa protokol yang sebenarnya tidak dikodekan dalam Magento di suatu tempat (skrip memeriksa kemampuan server Anda untuk membuat koneksi.)


Skrip ini memberi tahu saya "tidak terpengaruh" sementara poodlescan.com mengatakan "Server ini mendukung protokol SSL v3." => Rentan.
PiNomor

0

Semuanya ada di CURL connect. Yang perlu Anda periksa adalah bahwa pustaka ikal sisi klien server Anda mendukung TLS (sehingga dapat mundur).

Buat skrip PHP CURL sederhana dengan definisi berikut untuk memaksa TLS,

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

Jika berhasil, Anda tidak perlu khawatir. Jika tidak, Anda mungkin perlu mengkompilasi ulang libcurl dan openssl


0

Sejauh yang saya tahu, pada pengaturan Magento 1.4.1.1 kuno dari klien saya, komunikasi inti Paypal (via curl) tidak memaksa protokol tertentu, jadi curl harus menggunakan TLS ketika Paypal menjatuhkan dukungan untuk SSLv3.

Saya kira saya akan mencari tahu pasti pada 3 Desember.


Seharusnya sudah menggunakan TLS sekarang, TETAPI, ini rentan terhadap MITM yang memaksanya untuk mengembalikan dari TLS ke SSLv3, yang rusak ... Pada 12/3, pihak server akan menolak untuk mengembalikan ke SSL. JIKA mungkin Anda ingin memperbaiki sisi klien Anda untuk tidak mengizinkan rollback sekarang untuk memberikan perlindungan sampai Paypal akhirnya memperbaiki sisi mereka.
Brian Knoblauch

0

Saya menambahkan baris berikut:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

menjadi skrip uji php. Ini adalah hasil setelah mengeksekusinya melalui browser:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

Apakah ini ok? Bisakah saya bekerja dengan versi curl 7.33.0 dan paypal saya juga setelah tanggal 3 Desember? Saya rasa iya!

Salam JJ


0

Jadi manajer akun paypal saya menelepon saya hari ini dan memberi tahu saya bahwa situs web saya menggunakan ssl 3.0 / pudel dan tidak akan berfungsi setelah migrasi pada Des.3

Mereka menunjukkan kepada saya semua dokumen yang pada dasarnya mengatakan bahwa jika saya dapat membuat panggilan ke server sandbox pengembangan dan menerima respons yang dapat diterima maka semuanya harus baik-baik saja.

Saya benar-benar tidak mengubah apa pun dalam kode atau konfigurasi server. Saya diuji pada server sandbox pengembangan dan semuanya berjalan dengan baik. Magento ver. 1.4.1.0

Apakah ini berarti semuanya akan baik-baik saja pada tanggal 3 Des?

Catatan, semua situs web saya masih memberi saya pesan di bawah ini ketika menjalankan melalui https://www.poodlescan.com/

"Server ini mendukung protokol SSL v3." "Server ini mendukung protokol SSL v2. Anda harus benar-benar menonaktifkan protokol ini."

Bantuan apa pun akan sangat dihargai.


Ini berarti bahwa situs Anda sudah dapat melakukan TLS, tetapi rentan terhadap seorang pria dalam serangan tengah yang memaksa Anda ke SSL dan kemudian merusak aliran data. Barang-barang Anda tidak akan pecah ketika pihak lain ditingkatkan, tetapi Anda juga tidak aman.
Brian Knoblauch

0

Edit httpd.conf Apache Anda dan tambahkan kode berikut:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

Anda juga dapat melakukan ini melalui WHM jika Anda memiliki VPS atau Server Khusus:

Buka Konfigurasi Layanan -> Konfigurasi Apache -> Sertakan Editor -> Sertakan Utama

dan tambahkan dua baris di atas.

Kemudian Anda dapat terhubung ke kotak pasir PayPal untuk menguji Anda SSLv3 telah dinonaktifkan, atau Anda dapat menambahkan kode yang disarankan Randall Hertzler dalam jawabannya.

Saya sudah melakukan hal di atas sendiri dan berfungsi dengan baik.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.