Magento - PayPal - SSLV3: funzionerà quando PayPal interromperà SSL3 il 3 dicembre?

15

Ho appena ricevuto un'e-mail da PayPal in cui si afferma che a causa della vulnerabilità di Poodle interromperanno il supporto per SSLV3 utilizzando la loro API di pagamento dal 3 dicembre 2014.

Volevo solo esporlo e chiedere se qualcuno sa se questo avrà effetto diretto sull'integrazione di PayPal Payment Pro / Hosted Solution / Express in Magento 1.9.0.1 (più recente)?

Se è così - qualcuno ha idea di come posso fare per risolvere i moduli paypal standard in Magento?

Grazie!

paypal 
utente
fonte
Ci sono già diversi thread a riguardo su Stack Overflow. In sostanza, devi solo connetterti all'API di PayPal tramite TLS utilizzando cURL, tuttavia ciò si manifesta.
reca il
Ciao Benmarks .. Ho fatto una ricerca su questo ma non proprio sul sito di overflow dello stack, solo la parte magento. Ho appena provato a cercare quei thread per vedere se posso fare altri test ma non riesco a trovarli, potresti per favore passarmi qualche link? Grazie!
loginid

Risposte:

2

A quanto ho capito (e per favore correggimi se sbaglio) che è in realtà la tua società di hosting (se su una piattaforma condivisa) o tu stesso se su VPS o server dedicato, ad esempio, dovrebbe disabilitare SSLv3. Il tuo host web dovrebbe farlo, se non lo ha già fatto, e se sei responsabile per il tuo server, credo che tu possa modificare il tuo httpd.conf e aggiungere quanto segue;

SSLProtocol ALL -SSLv2 -SSLv3

Questo disabiliterà v2 e v3 e credo che TLS sia la connessione fallback standard.

Questo è se Apache lo configura, quindi se stai usando qualcos'altro, allora il codice potrebbe cambiare leggermente, ma spero che questo ti aiuti un po ', ma sarei grato di sentire anche gli altri input su questo.

Tony Pollard
fonte
Per tua informazione, puoi provare per vedere se il tuo web server ha attualmente abilitato SSLv2 o SSLv3 usando questo sito foundeo.com/products/iis-weak-ssl-ciphers/test.cfm
Tony Pollard
ahuh! Grazie Tony, penso che abbia senso per me adesso. Quindi non ha nulla a che fare con il modo in cui Magento è codificato, ma ha tutto a che fare con il modo in cui la società di hosting ha configurato quale SSL (o non si utilizza SSL ora) viene utilizzato.
loginid
Tony, ce l'hai di fronte. Hai citato SSLv3 lato server per richieste in entrata, non richieste in uscita avviate dal server. L'email PayPal si riferisce a quest'ultima.
choco-loo,
Sì, praticamente loginid, Symantec ha anche rilasciato uno strumento di controllo. Ho effettuato la modifica che ho descritto sopra su un VPS che ho e ha superato entrambi i controlli ora, quindi non dovrei avere problemi.
Tony Pollard,
choco-loo, se il mio server avvia una richiesta in uscita, ma SSLv3 non è abilitato, non può utilizzarlo correttamente? Anche i browser e i gateway di pagamento stanno cessando il supporto anche per SSLv3, quindi questo non lo ferma completamente? Non credo che Magento usi comunque un protocollo particolare, ma sto cercando di assicurarmi che tutto sia sicuro. Interessati a conoscere i tuoi pensieri se hai tempo.
Tony Pollard,
1

Rilascia questo codice:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

in un file chiamato paypal-tls-test.php nella radice del tuo sito Magento. Quindi indirizza il browser come http://www.yoursite.com/paypal-tls-test.php . Lo script tenta di stabilire una connessione alla sandbox di PayPal che non supporta più SSLv3. Se riesce a stabilire una connessione, allora è una buona indicazione che starai bene. In caso contrario, hai del lavoro da fare. Questo ovviamente presuppone che il protocollo effettivo non sia codificato in Magento da qualche parte (lo script verifica la capacità del server di stabilire la connessione).

Randall Hertzler
fonte
Questo script mi ​​dice "non interessato" mentre poodlescan.com dice "Questo server supporta il protocollo SSL v3". => VULNERABILE.
PiTheNumber
0

È tutto nella connessione CURL. Ciò che è necessario verificare è che la libreria di arricciatura lato client del server supporti TLS (in modo che possa eseguire il fallback).

Crea un semplice script CURP PHP con la seguente definizione per forzare TLS,

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

In caso di successo, non hai nulla di cui preoccuparti. In caso contrario, probabilmente avrai bisogno di una ricompilazione di libcurl e openssl

choco-loo
fonte
0

Per quanto ne so, sull'antica configurazione Magento 1.4.1.1 del mio cliente, le comunicazioni principali di Paypal (tramite curl) non impongono alcun protocollo particolare, quindi curl dovrebbe usare TLS quando Paypal elimina il supporto per SSLv3.

Immagino che lo scoprirò sicuramente il 3 dicembre.

Diventa più saggio
fonte
Ora dovrebbe già utilizzare TLS, MA è vulnerabile al MITM costringendolo a eseguire il rollback da TLS a SSLv3, il che è interrotto ... Il 12/3, il lato server rifiuterà il rollback a SSL. Se possibile, vuoi riparare il tuo lato client per non consentire il rollback ora per fornire protezione fino a quando Paypal non risolverà finalmente il loro lato.
Brian Knoblauch,
0

Ho aggiunto la seguente riga:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

in uno script php di prova. Questo è il risultato dopo averlo eseguito tramite un browser:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

va bene? Potrei lavorare con la mia versione curl 7.33.0 e paypal anche dopo il 3 dicembre? Penso di si!

Saluti JJ

user16279
fonte
0

Quindi il mio account manager paypal mi chiama oggi e mi dice che i miei siti web usano ssl 3.0 / poodle e non funzioneranno dopo la migrazione il 3 dicembre

Mi indicano tutti questi documenti che in sostanza dicono che se posso effettuare una chiamata al server sandbox di sviluppo e ricevere una risposta accettabile, allora tutto dovrebbe andare bene.

Non ho cambiato assolutamente nulla nel codice né nella configurazione del server. Ho testato sul server sandbox di sviluppo e tutto procede perfettamente. Magento ver. 1.4.1.0

Questo significa che tutto dovrebbe essere OK come il 3 dicembre?

Nota, tutti i miei siti Web mi danno ancora i messaggi di seguito quando si esegue https://www.poodlescan.com/

"Questo server supporta il protocollo SSL v3." "Questo server supporta il protocollo SSL v2. Dovresti davvero disabilitare questo protocollo."

Qualsiasi aiuto sarebbe molto apprezzato.

Alvin
fonte
Ciò significa che il tuo sito è già in grado di eseguire TLS, ma è vulnerabile a un uomo nel mezzo dell'attacco che ti costringe a SSL e quindi interrompe il flusso di dati. Le tue cose non si romperanno quando l'altro lato viene aggiornato, ma non sei nemmeno sicuro.
Brian Knoblauch,
0

Modifica il tuo httpd.conf di Apache e aggiungi il seguente codice:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

Puoi anche farlo tramite WHM se hai un VPS o un server dedicato:

Vai a Configurazione servizio -> Configurazione Apache -> Includi editor -> Includi pre principale

e aggiungi le due righe precedenti.

Quindi puoi connetterti alla sandbox di PayPal per testare che SSLv3 è stato disabilitato o puoi aggiungere il codice suggerito da Randall Hertzler nella sua risposta.

Ho fatto quanto sopra e funziona benissimo.

Mike
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.