Magento - PayPal - SSLV3: Nó có hoạt động khi PayPal ngừng SSL3 vào ngày 3 tháng 12 không?


15

Tôi vừa nhận được email từ PayPal nêu rõ vì lỗ hổng Poodle, họ sẽ ngừng hỗ trợ SSLV3 bằng API thanh toán của họ từ ngày 3 tháng 12 năm 2014.

Chỉ muốn đưa nó ra khỏi đó và hỏi liệu có ai biết liệu điều này có ảnh hưởng trực tiếp đến việc tích hợp PayPal Payment Pro / Hosted Solution / Express thanh toán trong Magento 1.9.0.1 (mới nhất) không?

Nếu vậy - có ai có ý tưởng làm thế nào tôi có thể sửa chữa các mô-đun paypal tiêu chuẩn trong magento không?

Cảm ơn!


Đã có một số chủ đề về điều này tại Stack Overflow. Về cơ bản, bạn chỉ cần kết nối với API của PayPal thông qua TLS bằng cURL - tuy nhiên điều đó sẽ xảy ra.
đánh dấu

Xin chào Benmark .. Tôi đã thực hiện một tìm kiếm trên này nhưng không thực sự trên trang web stack stack, chỉ là phần magento. Tôi vừa thử tìm kiếm các chủ đề đó để xem liệu tôi có thể kiểm tra thêm không nhưng dường như không thể tìm thấy chúng, bạn có thể vui lòng cho tôi một số liên kết không? Cảm ơn!
đăng nhập

Câu trả lời:


2

Theo tôi hiểu (và vui lòng sửa cho tôi nếu tôi sai) thực tế là công ty lưu trữ của bạn (nếu trên nền tảng dùng chung) hoặc chính bạn nếu trên VPS hoặc máy chủ chuyên dụng chẳng hạn sẽ phải vô hiệu hóa SSLv3. Máy chủ web của bạn nên làm điều này, nếu họ chưa có và nếu bạn chịu trách nhiệm cho máy chủ của riêng mình thì tôi tin rằng bạn có thể sửa đổi httpd.conf của mình và thêm vào như sau;

SSLProtocol ALL -SSLv2 -SSLv3

Điều này sẽ vô hiệu hóa v2 và v3 và tôi tin rằng TLS là kết nối dự phòng tiêu chuẩn.

Đây là nếu cấu hình Apache vì vậy nếu bạn đang sử dụng một cái gì đó khác, thì mã có thể thay đổi một chút, nhưng hy vọng điều này sẽ giúp bạn một chút nhưng tôi sẽ rất biết ơn khi nghe những người khác nhập vào điều này.


Để biết thông tin của bạn, bạn có thể kiểm tra xem máy chủ web của bạn hiện có bật SSLv2 hoặc SSLv3 hay không bằng cách sử dụng trang này Foundeo.com/products/iis-weak-ssl-ciphers/test.cfm
Tony Pollard

À! Cảm ơn vì điều đó Tony - tôi nghĩ điều đó có ý nghĩa với tôi bây giờ. Vì vậy, không có gì phải làm với cách mà Magento được mã hóa hoàn toàn nhưng có mọi thứ để làm với cách mà công ty lưu trữ đã cấu hình SSL nào (hoặc không sử dụng SSL bây giờ) được sử dụng.
đăng nhập

Tony, bạn đã có nó trở lại phía trước. Bạn đã đề cập SSLv3 phía máy chủ cho các yêu cầu gửi đến, không phải máy chủ khởi tạo yêu cầu gửi đi. Email PayPal liên quan đến cái sau.
choco-loo

Yeah khá nhiều loginid, symantec cũng đã phát hành một công cụ kiểm tra. Tôi đã thực hiện thay đổi mà tôi đã mô tả ở trên trên một VPS mà tôi có và nó đã vượt qua cả hai lần kiểm tra vì vậy tôi không nên có bất kỳ vấn đề nào.
Tony Pollard

choco-loo, nếu máy chủ của tôi bắt đầu yêu cầu gửi đi, nhưng không bật SSLv3, thì nó không thể sử dụng đúng không? Ngoài ra các trình duyệt và các cổng thanh toán cũng ngừng hỗ trợ cho SSLv3, vì vậy điều này có dừng được mọi cách không? Tôi không tin Magento thậm chí sử dụng một giao thức cụ thể nào, nhưng tôi đang cố gắng đảm bảo rằng mọi thứ đều an toàn. Hãy quan tâm để biết suy nghĩ của bạn nếu bạn có thời gian.
Tony Pollard

1

Bỏ mã này:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

trong một tệp có tên paypal-tls-test.php trong thư mục gốc của trang Magento của bạn. Sau đó trỏ trình duyệt của bạn tới nó như http://www.yoursite.com/paypal-tls-test.php . Tập lệnh cố gắng tạo kết nối với hộp cát PayPal không còn hỗ trợ SSLv3. Nếu nó tạo kết nối thành công thì đó là một dấu hiệu tốt, bạn sẽ ổn thôi. Nếu không, bạn có việc phải làm. Tất nhiên, điều này giả định rằng giao thức thực tế không được mã hóa cứng trong Magento ở đâu đó (tập lệnh kiểm tra khả năng thực hiện kết nối của máy chủ của bạn.)


Kịch bản này cho tôi biết "không bị ảnh hưởng" trong khi poodlescan.com nói "Máy chủ này hỗ trợ giao thức SSL v3". => VULNH VIỄN.
PiTheNumber

0

Tất cả trong kết nối CURL. Những gì bạn cần kiểm tra là thư viện curl phía máy chủ của bạn hỗ trợ TLS (để nó có thể dự phòng).

Tạo một kịch bản lệnh CURL PHP đơn giản với định nghĩa sau để buộc TLS,

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

Nếu thành công, bạn không có gì phải lo lắng. Nếu không, bạn có thể sẽ cần biên dịch lại libcurl và openssl


0

Theo như tôi có thể nói, trên thiết lập Magento 1.4.1.1 cổ xưa của khách hàng của tôi, giao tiếp Paypal cốt lõi (thông qua curl) không bắt buộc bất kỳ giao thức cụ thể nào, vì vậy curl nên sử dụng TLS khi Paypal bỏ hỗ trợ SSLv3.

Tôi đoán tôi sẽ tìm ra chắc chắn vào ngày 3 tháng 12.


Bây giờ, nó đã được sử dụng TLS, NHƯNG, nó dễ bị MITM buộc phải chuyển từ TLS sang SSLv3, bị hỏng ... Vào ngày 12/3, phía máy chủ sẽ từ chối quay lại SSL. Nếu có thể, bạn muốn sửa lỗi phía khách hàng của mình để không cho phép rollback ngay bây giờ để cung cấp sự bảo vệ cho đến khi Paypal cuối cùng đã sửa lỗi phía họ.
Brian Knoblauch

0

Tôi đã thêm dòng sau:

curl_setopt ($ curl numquest, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

vào một kịch bản php thử nghiệm. Đây là kết quả sau khi thực hiện nó thông qua trình duyệt:

curl_setopt ($ curl numquest, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

được không Tôi có thể làm việc với phiên bản curl 7.33.0 và paypal sau ngày 3 tháng 12 không? Tôi đoán là có!

Trân trọng JJ


0

Vì vậy, người quản lý tài khoản paypal của tôi gọi cho tôi hôm nay và nói với tôi rằng các trang web của tôi đang sử dụng ssl 3.0 / poodle và sẽ không hoạt động sau khi di chuyển vào ngày 3 tháng 12

Họ chỉ cho tôi tất cả những tài liệu này về cơ bản nói rằng nếu tôi có thể thực hiện cuộc gọi đến máy chủ hộp cát phát triển và nhận được phản hồi chấp nhận được thì mọi thứ sẽ ổn.

Tôi đã thay đổi hoàn toàn không có gì trong mã cũng như cấu hình máy chủ. Tôi đã thử nghiệm trên máy chủ hộp cát phát triển và mọi thứ đều hoàn toàn ổn. Magento ver. 1.4.1.0

Điều này có nghĩa là mọi thứ sẽ ổn khi đến tháng 3?

Lưu ý, tất cả các trang web của tôi vẫn cung cấp cho tôi các thông báo bên dưới khi chạy qua https://www.poodlescan.com/

"Máy chủ này hỗ trợ giao thức SSL v3." "Máy chủ này hỗ trợ giao thức SSL v2. Bạn thực sự nên vô hiệu hóa giao thức này."

Mọi sự trợ giúp sẽ rất được trân trọng.


Điều này có nghĩa là trang web của bạn đã có thể thực hiện TLS, nhưng dễ bị tấn công bởi một người đàn ông trong cuộc tấn công trung gian buộc bạn phải xuống SSL và sau đó phá vỡ luồng dữ liệu. Nội dung của bạn sẽ không bị hỏng khi phía bên kia được nâng cấp, nhưng bạn cũng không an toàn.
Brian Knoblauch

0

Chỉnh sửa httpd.conf của Apache và thêm đoạn mã sau:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

Bạn cũng có thể thực hiện việc này qua WHM nếu bạn có VPS hoặc Máy chủ chuyên dụng:

Chuyển đến Cấu hình dịch vụ -> Cấu hình Apache -> Bao gồm trình chỉnh sửa -> Bao gồm chính

và thêm hai dòng trên.

Sau đó, bạn có thể kết nối với hộp cát PayPal để kiểm tra SSLv3 của bạn đã bị vô hiệu hóa hay bạn có thể thêm mã mà Randall Hertzler đề xuất trong câu trả lời của mình.

Tôi đã thực hiện những điều trên và nó hoạt động tốt.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.