Magento - PayPal - SSLV3: Будет ли работать, когда PayPal прекратит SSL3 3 декабря?

Я только что получил электронное письмо от PayPal, заявив, что из-за уязвимости Poodle они прекратят поддержку SSLV3, используя свой API платежей с 3-го декабря 2014 года.

Просто хотел поместить его туда и спросить, знает ли кто-нибудь, будет ли это напрямую влиять на интеграцию платежей PayPal Payment Pro/Hosted Solution/Express в Magento 1.9.0.1 (последняя)?

Если это так - у кого-нибудь есть идея, как я могу исправить стандартные модули paypal в magento?

Благодаря!

15
В Stack Overflow уже есть несколько потоков. По сути, вам просто нужно подключиться к API PayPal через TLS с помощью cURL - однако это происходит.
добавлено автор Jon Galloway, источник
Привет, Benmarks. Я сделал поиск по этому вопросу, но на самом деле не на переполненном стеке сайте, а только в пурпурной части. Я только что пробовал искать эти темы, чтобы посмотреть, могу ли я сделать больше тестов, но не могу их найти, не могли бы вы передать мне некоторые ссылки? Благодаря!
добавлено автор bmdhacks, источник

7 ответы

Насколько я понимаю (и, пожалуйста, поправьте меня, если я ошибаюсь), что это на самом деле ваша хостинговая компания (если на общей платформе) или вы сами, если на VPS или выделенном сервере, например, это должно было бы отключить SSLv3. Ваш веб-хост должен сделать это, если они еще не были, и если вы несете ответственность за свой собственный сервер, то я считаю, что вы можете изменить свой httpd.conf и добавить следующее;

SSLProtocol ALL -SSLv2 -SSLv3

Это отключит v2 и v3, и я считаю, что TLS является стандартным резервным соединением.

Это, если конфигурация Apache так, если вы используете что-то еще, тогда код может немного измениться, но, надеюсь, это немного поможет, но я был бы признателен за то, что другие люди тоже написали об этом.

2
добавлено
ахух! Спасибо за то, что Тони - я думаю, это имеет смысл для меня сейчас. Таким образом, это не имеет никакого отношения к тому, как Magento кодируется вообще, но имеет все, что связано с тем, как хостинговая компания настроила, какой SSL (или не использовать SSL сейчас) используется.
добавлено автор bmdhacks, источник
Тони, ты вернулся к фронту. Вы упомянули SSLv3 на стороне сервера для входящих запросов, а не для исходящих запросов, инициированных сервером. Электронная почта PayPal относится к последней.
добавлено автор Ramesh, источник
Для получения информации вы можете проверить, есть ли на вашем веб-сервере SSLv2 или SSLv3 с помощью этого сайта foundeo.com/products/iis-weak-ssl-ciphers/test.cfm
добавлено автор Teecup, источник
Да, довольно много логинов, Symantec также выпустил инструмент проверки. Я выполнил изменение, которое я описал выше, на VPS, которое у меня есть, и его pasded обе проверки сейчас, поэтому у меня не должно быть никаких проблем.
добавлено автор Teecup, источник
choco-loo, если мой сервер инициирует исходящий запрос, но не поддерживает SSLv3, то он не может использовать его правильно? Кроме того, браузеры и платежные шлюзы перестают поддерживать SSLv3, так что разве это не останавливается на всех путях? Я не верю, что Magento даже использует конкретный протокол в любом случае, но я стараюсь, чтобы все было в безопасности. Будьте заинтересованы, чтобы знать свои мысли, если у вас есть время.
добавлено автор Teecup, источник
choco-loo Спасибо за ваше обновление ниже, я могу оценить его, так как, по-видимому, я еще не попал в волшебное число 15! Я читал эту вещь сегодня утром, и все хорошо с моим сайтом :) Большое спасибо за ваше время.
добавлено автор Teecup, источник

Отправить этот код:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

в файле с именем paypal-tls-test.php в корневом каталоге вашего сайта Magento. Затем укажите свой браузер на него, например http://www.yoursite.com/paypal-tls- test.php . Сценарий пытается подключиться к песочнице PayPal, которая больше не поддерживает SSLv3. Если это делает успешное соединение, то это хороший признак, что все будет в порядке. Если нет, у вас есть работа. Это, конечно же, предполагает, что фактический протокол не является жестко закодированным в Magento где-то (скрипт проверяет способность вашего сервера делать соединение).

1
добавлено
Этот сценарий говорит мне «не затрагивается», а poodlescan.com говорит: «Этот сервер поддерживает протокол SSL v3». => УЯЗВИМЫЕ.
добавлено автор Polsonby, источник

Его все в CURL подключается. Что нужно проверить, так это то, что клиентская библиотека curl на стороне клиента поддерживает TLS (чтобы она могла отступить).

Создайте простой скрипт PHP CURL со следующим определением, чтобы заставить TLS,

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

В случае успеха вам не о чем беспокоиться. Если нет, вам, вероятно, потребуется перекомпиляция libcurl и openssl

0
добавлено

Я добавил следующую строку:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

в тестовый скрипт php. Это результат после его выполнения через браузер:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

это нормально? Могу ли я работать с моей версией curl 7.33.0 и paypal также после третьего декабря? Я думаю да!

С уважением JJ

0
добавлено

As far as I can tell, on my client's ancient Magento 1.4.1.1 setup, the core Paypal communications (via curl) do not force any particular protocol, so curl should use TLS when Paypal drop support for SSLv3.

Наверное, я обязательно узнаю 3 декабря.

0
добавлено
Теперь он должен использовать TLS, но он уязвим для MITM, вынуждая его откат от TLS до SSLv3, который сломан ... На 12/3 серверная сторона откажется от отката до SSL. ЕСЛИ вообще возможно, вы хотите исправить свою клиентскую сторону, чтобы не позволить откату now обеспечить защиту до тех пор, пока Paypal, наконец, не зафиксирует свою сторону.
добавлено автор Zoe.e.a.d., источник

Измените httpad.conf Apache и добавьте следующий код:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

Вы также можете сделать это через WHM, если у вас есть VPS или выделенный сервер:

Go to Service Configuration -> Apache Configuration -> Include Editor -> Pre Main Include

и добавьте две вышеуказанные строки.

Затем вы можете подключиться к изолированной песочнице PayPal, чтобы проверить, отключен ли SSLv3, или вы можете добавить код Randall Hertzler, предложенный в его ответе.

Я сделал это сам, и он отлично работает.

0
добавлено

Поэтому мой менеджер по работе с PayPal звонит мне сегодня и говорит мне, что мои сайты используют ssl 3.0/poodle и не будут работать после миграции 3 декабря

Они указывают мне на все эти документы, которые в основном говорят, что если я могу позвонить на сервер разработки песочницы и получить приемлемый ответ, тогда все должно быть в порядке.

Я ничего не изменил ни в коде, ни в конфигурации сервера. Я тестировал на сервере sandbox, и все проходит отлично. Magento ver. 1.4.1.0

Означает ли это, что все должно быть в порядке?

Note, all my websites still giving me the below messages when running through https://www.poodlescan.com/

«Этот сервер поддерживает протокол SSL v3». «Этот сервер поддерживает протокол SSL v2. Вы действительно должны отключить этот протокол».

Любая помощь будет принята с благодарностью.

0
добавлено
Это означает, что ваш сайт уже способен выполнять TLS, но уязвим для человека в средней атаке, который приводит вас к SSL, а затем трещит поток данных. Ваши вещи не будут ломаться, когда другая сторона будет обновлена, но вы также небезопасны.
добавлено автор Zoe.e.a.d., источник