Magento - PayPal - SSLV3: PayPal 3 Aralık'ta SSL3'ü bıraktığında çalışır mı?


15

PayPal'dan, 3 Aralık 2014'ten itibaren ödeme API'larını kullanarak SSLV3 desteğini durduracakları kaniş güvenlik açığı nedeniyle bir e-posta aldım.

Sadece oraya koymak ve bunun doğrudan Magento 1.9.0.1 (en son) PayPal Ödeme Pro / Barındırılan Çözüm / Ekspres ödeme entegrasyonunu doğrudan etkileyip etkilemeyeceğini bilmesi isteniyor mu?

Eğer öyleyse - kimse nasıl magento standart paypal modülleri düzeltmek için gidebiliriz hakkında bir fikrim var mı?

Teşekkürler!


Stack Overflow'da bununla ilgili zaten birkaç konu var. Aslında, cURL kullanarak PayPal API'sına TLS üzerinden bağlanmanız yeterlidir, ancak bu geçerliliğini kaybeder.
benmarks

Merhaba Benmarks .. Ben bu konuda bir arama yaptım ama gerçekten yığın taşma sitesinde, sadece magento kısmı. Daha fazla test yapıp yapamayacağımı görmek için bu konuları aramayı denedim, ancak onları bulamıyorum, lütfen bana bazı bağlantılar verebilir misiniz? Teşekkürler!
loginid

Yanıtlar:


2

Anladığım kadarıyla (ve eğer yanlışsam lütfen beni düzelt) aslında hosting şirketiniz (eğer paylaşılan bir platformda) veya VPS veya Dedicated sunucuda ise kendiniz SSLv3'ü devre dışı bırakmak zorunda kalacaksınız. Web sunucunuz bunu yapmadıysa, henüz yapmadıysa ve kendi sunucunuzdan sorumluysanız, httpd.conf'nuzu değiştirip aşağıdakileri ekleyebileceğinizi düşünüyorum;

SSLProtocol ALL -SSLv2 -SSLv3

Bu, v2 ve v3'ü devre dışı bırakacak ve TLS'nin standart yedek bağlantı olduğuna inanıyorum.

Bu Apache config yani başka bir şey kullanıyorsanız, o zaman kod biraz değişebilir, ama umarım bu biraz yardımcı olur ama ben de bu konuda diğer insanların giriş duymak minnettar olacaktır.


Bilginiz için, web sitenizin şu anda bu siteyi kullanarak SSLv2 veya SSLv3 etkin olup olmadığını test edebilirsiniz foundeo.com/products/iis-weak-ssl-ciphers/test.cfm
Tony Pollard

ahuh! Bunun için teşekkürler Tony - Sanırım şimdi bana mantıklı geliyor. Bu nedenle Magento'nun kodlandığı yolla ilgisi yoktur, ancak barındırma şirketinin hangi SSL'yi (veya şimdi SSL kullanmıyorsa) kullanıldığını yapılandırma şekliyle ilgisi vardır.
loginid

Tony, önden geri döndün. Sunucu tarafından başlatılan giden istekler için değil, gelen istekler için sunucu tarafı SSLv3'ten bahsettiniz. PayPal e-postası, ikincisiyle ilgilidir.
choco-loo

Evet hemen hemen loginid, symantec de bir kontrol aracı yayınladı. Ben bir VPS yukarıda açıklanan değişikliği yaptım ve onun pasdsed şimdi her iki kontrol böylece herhangi bir sorun olmamalı.
Tony Pollard

choco-loo, sunucum bir giden istek başlatır, ancak SSLv3 etkin değilse, doğru kullanamaz mı? Ayrıca tarayıcılar ve ödeme ağ geçitleri SSLv3 için de desteği kesiyor, bu yüzden bu her şeyi durdurmuyor mu? Magento'nun zaten belirli bir protokolü bile kullandığına inanmıyorum, ancak her şeyin güvenli olduğundan emin olmaya çalışıyorum. Zamanınız varsa düşüncelerinizi öğrenmekle ilgilenin.
Tony Pollard

1

Bu kodu bırakın:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

Magento sitenizin kökünde paypal-tls-test.php adlı bir dosyada. Ardından tarayıcınızı http://www.yoursite.com/paypal-tls-test.php gibi bir yere yönlendirin . Komut dosyası artık SSLv3'ü desteklemeyen PayPal sanal alanına bağlantı kurmaya çalışıyor. Başarılı bir bağlantı kurarsa, iyi olacağınızın iyi bir göstergesidir. Değilse, yapacak işiniz var. Bu, elbette, gerçek protokolün Magento'da bir yere sabit kodlanmadığını varsayar (komut dosyası, sunucunuzun bağlantı kurma yeteneğini kontrol eder.)


Bu komut dosyası bana "etkilenmediğini" söylerken poodlescan.com "Bu sunucu SSL v3 protokolünü destekliyor" diyor. => ZARARLI.
PiTheNumber

0

Hepsi CURL bağlantısında. Kontrol etmeniz gereken şey, sunucularınızın istemci tarafı kıvrılma kütüphanesinin TLS'yi desteklemesi (böylece geri dönebilmesi).

TLS'yi zorlamak için aşağıdaki tanımla basit bir PHP CURL betiği oluşturun,

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

Başarılı olursa endişelenecek bir şeyiniz yok. Değilse, büyük olasılıkla libcurl ve openssl'nin yeniden derlenmesine ihtiyacınız olacaktır.


0

Anlayabildiğim kadarıyla, müvekkilimin eski Magento 1.4.1.1 kurulumunda, temel Paypal iletişimleri (kıvrılma yoluyla) herhangi bir protokolü zorlamıyor, bu nedenle kıvrım SSLv3 için Paypal bırakma desteğinde TLS kullanmalıdır.

3 Aralık'ta öğreneceğimden eminim.


Şu anda TLS kullanıyor olmalı, ANCAK, MITM'den TLS'den SSLv3'e geri dönmeye zorluyor ... Kırık ... 12/3'te sunucu tarafı SSL'ye geri dönmeyi reddedecek. Mümkünse sen geri alma izin vermeyecek şekilde istemci tarafı düzeltmek istiyorum EĞER şimdi Paypal nihayet tarafını giderir kadar koruma sağlamak üzere.
Brian Knoblauch

0

Aşağıdaki satırı ekledim:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

test php betiği içine. Bu, bir tarayıcı aracılığıyla yürütüldükten sonraki sonuçtur:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

Bu tamam mı? 3 Aralık'tan sonra da curl 7.33.0 sürümüm ve paypal ile çalışabilir miyim? Sanırım evet!

Saygılar JJ


0

Bu yüzden paypal hesap yöneticim beni bugün çağırıyor ve web sitelerimin ssl 3.0 / kaniş kullandığını ve 3 Aralık'taki geçişten sonra çalışmayacağını söylüyor

Bana temelde geliştirme sandbox sunucusuna bir çağrı yapabilir ve kabul edilebilir bir yanıt alırsanız, o zaman her şey yolunda olduğunu söyleyen tüm bu belgeleri işaret.

Ne kod ne de sunucu yapılandırma kesinlikle değiştirdim. Geliştirme sanal alan sunucusunda test ettim ve her şey mükemmel şekilde geçiyor. Magento ver. 1.4.1.0

Bu, her şeyin 3 olması gerektiği anlamına mı geliyor?

Https://www.poodlescan.com/ adresinden çalışırken tüm web sitelerim bana hala aşağıdaki mesajları veriyor.

"Bu sunucu SSL v3 protokolünü desteklemektedir." "Bu sunucu SSL v2 protokolünü desteklemektedir. Bu protokolü gerçekten devre dışı bırakmalısınız."

Herhangi bir yardım büyük mutluluk duyacağız.


Bu, sitenizin zaten TLS yapabildiği, ancak orta saldırıdaki sizi SSL'ye zorlayan ve ardından veri akışını çatlatan bir adama karşı savunmasız olduğu anlamına gelir. Diğer taraf yükseltildiğinde eşyalarınız kırılmaz, ancak güvenli de olmazsınız.
Brian Knoblauch

0

Apache'nin httpd.conf dosyasını düzenleyin ve aşağıdaki kodu ekleyin:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

Bir VPS veya Özel Sunucunuz varsa bunu WHM aracılığıyla da yapabilirsiniz:

Hizmet Yapılandırması -> Apache Yapılandırması -> Düzenleyiciyi İçer -> Ön Ana İçerme'ye gidin

ve yukarıdaki iki satırı ekleyin.

Ardından, SSLv3'ün devre dışı bırakıldığını test etmek için PayPal sanal alanına bağlanabilirsiniz veya cevabında önerilen Randall Hertzler kodunu ekleyebilirsiniz.

Yukarıdakileri kendim yaptım ve iyi çalışıyor.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.