Magento - PayPal - SSLV3: cela fonctionnera-t-il lorsque PayPal arrêtera SSL3 le 3 décembre?

15

Je viens de recevoir un e-mail de PayPal m'informant qu'en raison de la vulnérabilité de Poodle, ils cesseront de prendre en charge SSLV3 à l'aide de leur API de paiement à partir du 3 décembre 2014.

Je voulais juste le publier et demander si quelqu'un sait si cela affectera directement l'intégration des paiements PayPal Payment Pro / Solution hébergée / Express dans Magento 1.9.0.1 (dernière)?

Si c'est le cas - quelqu'un a une idée de comment je peux réparer les modules paypal standard dans magento?

Merci!

paypal

— identifiant de connexion
source

Il y a déjà plusieurs discussions à ce sujet sur Stack Overflow. Essentiellement, il vous suffit de vous connecter à l'API de PayPal via TLS à l'aide de cURL - mais cela se produit.

— benmarks

Salut Benmarks .. J'ai fait une recherche là-dessus mais pas vraiment sur le site de débordement de pile, juste la partie magento. Je viens d'essayer de rechercher ces discussions pour voir si je peux faire plus de tests, mais je n'arrive pas à les trouver, pourriez-vous me transmettre des liens? Merci!

— loginid

2

Si je comprends bien (et corrigez-moi si je me trompe), c'est en fait votre hébergeur (si sur une plate-forme partagée) ou vous-même si vous êtes sur VPS ou sur un serveur dédié par exemple qui devrait désactiver SSLv3. Votre hébergeur devrait le faire, s'il ne l'a pas déjà fait, et si vous êtes responsable de votre propre serveur, je pense que vous pouvez modifier votre httpd.conf et ajouter ce qui suit;

SSLProtocol ALL -SSLv2 -SSLv3

Cela désactivera les versions 2 et 3 et je pense que TLS est la connexion de secours standard.

C'est le cas si Apache config, donc si vous utilisez autre chose, alors le code peut changer légèrement, mais j'espère que cela vous aide un peu, mais je serais reconnaissant d'entendre les commentaires d'autres personnes à ce sujet également.

— Tony Pollard
source

Pour votre information, vous pouvez tester pour voir si SSLv2 ou SSLv3 est actuellement activé sur votre serveur Web en utilisant ce site foundeo.com/products/iis-weak-ssl-ciphers/test.cfm

— Tony Pollard

ahuh! Merci pour ça Tony - je pense que ça a du sens pour moi maintenant. Cela n'a donc rien à voir avec la façon dont Magento est codé, mais a tout à voir avec la façon dont la société d'hébergement a configuré le SSL (ou ne pas utiliser SSL maintenant).

— loginid

Tony, tu l'as de nouveau devant. Vous avez mentionné SSLv3 côté serveur pour les demandes entrantes, et non les demandes sortantes initiées par le serveur. L'e-mail PayPal concerne ce dernier.

— choco-loo

Oui, à peu près l'identifiant de connexion, symantec a également publié un outil de vérification. J'ai effectué le changement que j'ai décrit ci-dessus sur un VPS que j'ai et ses deux vérifications passées maintenant, donc je ne devrais avoir aucun problème.

— Tony Pollard

choco-loo, si mon serveur lance une requête sortante, mais que SSLv3 n'est pas activé, alors il ne peut pas l'utiliser correctement? Les navigateurs et les passerelles de paiement cessent également la prise en charge de SSLv3, donc cela ne s'arrête-t-il pas à tous les niveaux? Je ne pense pas que Magento utilise même un protocole particulier de toute façon, mais j'essaie de m'assurer que tout est sûr. Soyez intéressé de connaître vos pensées si vous en avez le temps.

— Tony Pollard

1

Déposez ce code:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

dans un fichier nommé paypal-tls-test.php à la racine de votre site Magento. Pointez ensuite votre navigateur dessus comme http://www.votresite.com/paypal-tls-test.php . Le script essaie de se connecter au sandbox PayPal qui ne prend plus en charge SSLv3. Si la connexion est réussie, c'est une bonne indication que tout ira bien. Sinon, vous avez du travail à faire. Bien sûr, cela suppose que le protocole réel n'est pas codé en dur quelque part dans Magento (le script vérifie la capacité de votre serveur à établir la connexion.)

— Randall Hertzler
source

Ce script me dit "non affecté" tandis que poodlescan.com dit "Ce serveur prend en charge le protocole SSL v3." => VULNÉRABLE.

— PiTheNumber

0

Tout est dans la connexion CURL. Ce que vous devez vérifier, c'est que la bibliothèque de boucles côté client de votre serveur prend en charge TLS (afin qu'il puisse se replier).

Créez un simple script PHP CURL avec la définition suivante pour forcer TLS,

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

En cas de succès, vous n'avez rien à craindre. Sinon, vous aurez probablement besoin d'une recompilation de libcurl et openssl

— choco-loo
source

0

Pour autant que je sache, sur l'ancienne configuration Magento 1.4.1.1 de mon client, les communications Paypal de base (via curl) ne forcent aucun protocole particulier, donc curl devrait utiliser TLS lorsque Paypal supprime la prise en charge de SSLv3.

Je suppose que je le découvrirai avec certitude le 3 décembre.

— Devenir plus sage
source

Il devrait déjà utiliser TLS, MAIS, il est vulnérable au MITM le forçant à revenir de TLS à SSLv3, ce qui est cassé ... Le 12/3, le côté serveur refusera de revenir à SSL. Si possible, vous voulez corriger votre côté client pour ne pas autoriser le rollback maintenant pour fournir une protection jusqu'à ce que Paypal corrige enfin son côté.

— Brian Knoblauch

0

J'ai ajouté la ligne suivante:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

dans un script de test php. Voici le résultat après l'avoir exécuté via un navigateur:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

Est-ce correct? Puis-je travailler avec ma version curl 7.33.0 et paypal également après le 3 décembre? Je suppose oui!

Cordialement JJ

— user16279
source

0

Donc, mon gestionnaire de compte paypal m'appelle aujourd'hui et me dit que mes sites Web utilisent ssl 3.0 / poodle et ne fonctionneront pas après la migration le 3 décembre.

Ils m'indiquent tous ces documents qui disent essentiellement que si je peux appeler le serveur de développement sandbox et recevoir une réponse acceptable, tout devrait bien se passer.

Je n'ai absolument rien changé dans le code ni dans la configuration du serveur. J'ai testé sur le serveur sandbox de développement et tout se passe parfaitement bien. Magento ver. 1.4.1.0

Est-ce à dire que tout devrait bien se passer le 3 décembre?

Remarque, tous mes sites Web me donnent toujours les messages ci-dessous lors de l'exécution via https://www.poodlescan.com/

"Ce serveur prend en charge le protocole SSL v3." "Ce serveur prend en charge le protocole SSL v2. Vous devez vraiment désactiver ce protocole."

Toute aide serait grandement appréciée.

— Alvin
source

Cela signifie que votre site est déjà capable de faire TLS, mais est vulnérable à un homme dans l'attaque du milieu qui vous oblige à SSL, puis fissure le flux de données. Vos affaires ne se cassent pas lorsque l'autre côté est mis à niveau, mais vous n'êtes pas non plus sécurisé.

— Brian Knoblauch

0

Modifiez le httpd.conf d'Apache et ajoutez le code suivant:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

Vous pouvez également le faire via WHM si vous avez un VPS ou un serveur dédié:

Allez dans Configuration du service -> Configuration Apache -> Éditeur d'inclusion -> Inclusion pré-principale

et ajoutez les deux lignes ci-dessus.

Ensuite, vous pouvez vous connecter au bac à sable PayPal pour tester que SSLv3 a été désactivé, ou vous pouvez ajouter le code suggéré par Randall Hertzler dans sa réponse.

J'ai moi-même fait ce qui précède et cela fonctionne bien.

— Mike
source