Magento - PayPal - SSLV3: будет ли он работать, когда PayPal прекратит SSL3 3 декабря?

15

Я только что получил электронное письмо от PayPal, в котором говорится, что из-за уязвимости Poodle они прекратят поддержку SSLV3 с помощью своего платежного API с 3 декабря 2014 года.

Просто хотел выложить его и спросить, знает ли кто-нибудь, будет ли это напрямую влиять на интеграцию PayPal Payment Pro / Hosted Solution / Express платежей в Magento 1.9.0.1 (последняя версия)?

Если это так - у кого-нибудь есть идеи, как мне исправить стандартные модули PayPal в magento?

Благодарность!

Логин ID
источник
В Stack Overflow уже есть несколько тем об этом. По сути, вам просто нужно подключиться к API PayPal через TLS с использованием cURL - как бы то ни было.
отметки
Привет, Бенмаркс. Я сделал поиск по этому, но не по сайту переполнения стека, только по части magento. Я только что попытался найти эти темы, чтобы узнать, смогу ли я провести дополнительное тестирование, но не могу их найти, не могли бы вы передать мне несколько ссылок? Благодарность!
loginid

Ответы:

2

Насколько я понимаю (и, пожалуйста, исправьте меня, если я ошибаюсь), что на самом деле именно ваша хостинговая компания (если используется общая платформа) или вы сами, например, на VPS или выделенном сервере, должны отключить SSLv3. Ваш веб-хостинг должен сделать это, если они этого еще не сделали, и если вы несете ответственность за свой собственный сервер, то я считаю, что вы можете изменить свой httpd.conf и добавить следующее;

SSLProtocol ALL -SSLv2 -SSLv3

Это отключит v2 и v3, и я считаю, что TLS является стандартным резервным соединением.

Это если конфигурация Apache, так что если вы используете что-то другое, то код может немного измениться, но, надеюсь, это вам немного поможет, но я был бы рад услышать мнение других людей по этому вопросу.

Тони Поллард
источник
Для вашей информации, вы можете проверить, есть ли на вашем веб-сервере в настоящее время поддержка SSLv2 или SSLv3, с помощью этого сайта фунт. Deo.com/products/iis-weak-ssl-ciphers/test.cfm
Тони Поллард
ахух! Спасибо за это Тони - я думаю, что это имеет смысл для меня сейчас. Так что это никак не связано с тем, как Magento кодируется, но имеет отношение к тому, как хостинговая компания настроила, какой SSL (или не использующий SSL сейчас) используется.
loginid
Тони, ты получил его обратно на фронт. Вы упомянули серверную SSLv3 для входящих запросов, а не исходящие запросы, инициированные сервером. Электронная почта PayPal относится к последнему.
choco-loo
Да, в значительной степени loginid, Symantec также выпустила инструмент проверки. Я выполнил изменение, которое я описал выше, на VPS, который у меня есть, и теперь он прошел обе проверки, поэтому у меня не должно быть никаких проблем.
Тони Поллард
choco-loo, если мой сервер инициирует исходящий запрос, но не поддерживает SSLv3, то он не может использовать его правильно? Кроме того, браузеры и платежные шлюзы также прекращают поддержку SSLv3, так что, не остановит ли это все вокруг? Я не верю, что Magento даже использует какой-то определенный протокол, но я пытаюсь убедиться, что все безопасно. Интересно узнать ваши мысли, если у вас есть время.
Тони Поллард
1

Оставьте этот код:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

в файле с именем paypal-tls-test.php в корне вашего сайта Magento. Затем укажите свой браузер, например, http://www.yoursite.com/paypal-tls-test.php . Сценарий пытается установить соединение с песочницей PayPal, которая больше не поддерживает SSLv3. Если соединение установлено успешно, это хороший признак того, что вы будете в порядке. Если нет, у вас есть работа. Это, конечно, предполагает, что действительный протокол где-то жестко не прописан в Magento (скрипт проверяет способность вашего сервера устанавливать соединение).

Рэндалл Герцлер
источник
Этот сценарий говорит мне «не подвержен влиянию», а poodlescan.com говорит: «Этот сервер поддерживает протокол SSL v3». => Уязвимые.
PiTheNumber
0

Все в CURL подключиться. Что вам нужно проверить, так это то, что клиентская библиотека curl на ваших серверах поддерживает TLS (так что она может быть откатной).

Создайте простой скрипт PHP CURL со следующим определением для принудительной установки TLS,

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

В случае успеха вам не о чем беспокоиться. Если нет, вам, вероятно, понадобится перекомпиляция libcurl и openssl

шоколадно-Лоо
источник
0

Насколько я могу судить, в древней настройке моего клиента Magento 1.4.1.1 ядро ​​связи Paypal (через curl) не вызывало какой-либо конкретный протокол, поэтому curl должен использовать TLS, когда Paypal drop поддерживает SSLv3.

Наверное, я узнаю наверняка 3 декабря.

Становится мудрее
источник
Он уже должен использовать TLS, НО, он уязвим для MITM, заставляя его выполнить откат с TLS на SSLv3, что не работает ... 12/3 серверная сторона откажется откат к SSL. Если это вообще возможно, вы хотите исправить свою клиентскую сторону, чтобы не позволять откату сейчас обеспечивать защиту, пока Paypal окончательно не исправит свою сторону.
Брайан Кноблаух
0

Я добавил следующую строку:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

в тестовый скрипт php. Это результат после выполнения его через браузер:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

это нормально? Могу ли я работать с версией curl 7.33.0 и PayPal также после 3 декабря? Я думаю да!

С уважением JJ

user16279
источник
0

Итак, мой менеджер по работе с PayPal звонит мне сегодня и говорит, что мои сайты используют ssl 3.0 / poodle и не будут работать после миграции 3 декабря.

Они указывают мне на все эти документы, в которых в основном говорится, что если я могу позвонить на сервер изолированной программной среды разработки и получить приемлемый ответ, то все должно быть в порядке.

Я ничего не изменил ни в коде, ни в конфигурации сервера. Я проверил на сервере разработки песочнице, и все проходит отлично. Magento ver. 1.4.1.0

Означает ли это, что все должно быть в порядке 3 декабря?

Обратите внимание, что все мои сайты по-прежнему выдают мне следующие сообщения при работе через https://www.poodlescan.com/.

«Этот сервер поддерживает протокол SSL v3.» «Этот сервер поддерживает протокол SSL v2. Вы должны действительно отключить этот протокол».

Любая помощь будет принята с благодарностью.

Alvin
источник
Это означает, что ваш сайт уже может использовать TLS, но уязвим для человека, находящегося в средней атаке, который заставляет вас перейти к SSL и затем взломает поток данных. Ваши вещи не сломаются, когда обновится другая сторона, но вы также не в безопасности.
Брайан Кноблаух
0

Отредактируйте ваш Apache httpd.conf и добавьте следующий код:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

Вы также можете сделать это через WHM, если у вас есть VPS или выделенный сервер:

Перейдите в раздел «Настройка службы» -> «Настройка Apache» -> «Включить редактор» -> «Предварительное включение»

и добавьте две вышеупомянутые строки.

Затем вы можете подключиться к песочнице PayPal, чтобы проверить, что SSLv3 отключен, или добавить код, предложенный Рэндаллом Херцлером в своем ответе.

Я сделал выше сам, и он отлично работает.

Майк
источник