Magento - PayPal - SSLV3: Funcionará quando o PayPal interromper o SSL3 em 3 de dezembro?


15

Acabei de receber um e-mail do PayPal informando que, devido à vulnerabilidade do Poodle, eles interromperão o suporte ao SSLV3 usando sua API de pagamento a partir de 3 de dezembro de 2014.

Só queria divulgá-lo e perguntar se alguém sabe se isso afetará diretamente a integração de pagamentos do PayPal Payment Pro / Solução Hospedada / Express no Magento 1.9.0.1 (mais recente)?

Se sim - alguém tem uma idéia de como posso corrigir os módulos paypal padrão no magento?

Obrigado!


Já existem vários tópicos sobre isso no Stack Overflow. Essencialmente, você só precisa se conectar à API do PayPal via TLS usando cURL - no entanto, isso acontece.
benmarks

Oi Benmarks .. Eu fiz uma pesquisa sobre isso, mas não realmente no site de estouro de pilha, apenas a parte magento. Eu apenas tentei procurar por esses tópicos para ver se posso fazer mais testes, mas não consigo encontrá-los. Você poderia me passar alguns links? Obrigado!
usar o seguinte

Respostas:


2

Pelo que entendi (e me corrija se estiver errado), é de fato a sua empresa de hospedagem (se estiver em uma plataforma compartilhada) ou você mesmo se estiver em um servidor VPS ou Dedicado, por exemplo, que teria que desativar o SSLv3. Seu host deve fazer isso, se ainda não o fez, e se você é responsável por seu próprio servidor, acredito que você pode modificar seu httpd.conf e adicionar o seguinte;

SSLProtocol ALL -SSLv2 -SSLv3

Isso desativará as v2 e v3 e acredito que o TLS é a conexão de fallback padrão.

Isto é, se o Apache estiver configurado, se você estiver usando outra coisa, o código poderá mudar um pouco, mas espero que isso ajude um pouco, mas eu ficaria grato por ouvir outras pessoas opinando sobre isso também.


Para sua informação, você pode testar para ver se o seu servidor web tem atualmente SSLv2 ou SSLv3 ativado usar esse site foundeo.com/products/iis-weak-ssl-ciphers/test.cfm
Tony Pollard

ahuh! Obrigado por Tony - acho que isso faz sentido para mim agora. Portanto, não tem nada a ver com a maneira como o Magento é codificado, mas tem tudo a ver com a maneira como a empresa de hospedagem configurou qual SSL (ou não usando SSL agora) é usado.
LoginID

Tony, você está de volta à frente. Você mencionou o SSLv3 do lado do servidor para solicitações de entrada, não solicitações de saída iniciadas pelo servidor. O email do PayPal está relacionado ao último.
choco-loo

Sim, praticamente o loginid, a Symantec também lançou uma ferramenta de verificação. Executei a alteração que descrevi acima em um VPS que possuo e ele passou as duas verificações agora, portanto, não deveria ter nenhum problema.
Tony Pollard

choco-loo, se meu servidor iniciar uma solicitação de saída, mas o SSLv3 não estiver ativado, não será possível usá-lo corretamente? Além disso, os navegadores e os gateways de pagamento também estão interrompendo o suporte ao SSLv3; portanto, isso não impede tudo? Não acredito que o Magento sequer use um protocolo específico, mas estou tentando garantir que tudo esteja seguro. Esteja interessado em conhecer seus pensamentos, se tiver tempo.
Tony Pollard

1

Solte este código:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

em um arquivo chamado paypal-tls-test.php na raiz do seu site Magento. Em seguida, aponte o seu navegador para ele como http://www.yoursite.com/paypal-tls-test.php . O script tenta fazer uma conexão com a sandbox do PayPal, que não oferece mais suporte ao SSLv3. Se a conexão for bem-sucedida, é uma boa indicação de que você ficará bem. Caso contrário, você tem trabalho a fazer. Obviamente, isso pressupõe que o protocolo real não esteja codificado no Magento em algum lugar (o script verifica a capacidade do seu servidor para fazer a conexão).


Esse script me diz "não afetado", enquanto poodlescan.com diz "Este servidor suporta o protocolo SSL v3". => VULNERÁVEL.
PiTheNumber

0

Está tudo na conexão CURL. O que você precisa verificar é que a biblioteca de ondulação do lado do cliente do servidor oferece suporte ao TLS (para que ele possa fazer o fallback).

Crie um script PHP CURL simples com a seguinte definição para forçar o TLS,

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

Se for bem-sucedido, você não precisa se preocupar com nada. Caso contrário, você provavelmente precisará de uma recompilação de libcurl e openssl


0

Até onde eu sei, na antiga configuração Magento 1.4.1.1 do meu cliente, as comunicações principais do Paypal (via curl) não forçam nenhum protocolo específico, portanto, o curl deve usar o TLS quando o Paypal dispensar o suporte ao SSLv3.

Acho que vou descobrir com certeza no dia 3 de dezembro.


Ele já deve estar usando TLS agora, MAS é vulnerável ao MITM forçando-o a reverter de TLS para SSLv3, que está quebrado ... Em 12/3, o servidor recusará a reversão para SSL. SE possível, você deseja corrigir o lado do cliente para não permitir a reversão agora para fornecer proteção até o Paypal finalmente corrigir o lado deles.
precisa

0

Eu adicionei a seguinte linha:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

em um script php de teste. E este é o resultado após executá-lo através de um navegador:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

está bem? Posso trabalhar com minha versão curl 7.33.0 e paypal também após o dia 3 de dezembro? Eu acho que sim!

Atenciosamente JJ


0

Então, meu gerente de contas paypal me liga hoje e diz que meus sites estão usando ssl 3.0 / poodle e não funcionarão após a migração em 3 de dezembro

Eles me apontam para todos esses documentos que basicamente dizem que, se eu puder fazer uma ligação para o servidor sandbox de desenvolvimento e receber uma resposta aceitável, tudo estará bem.

Eu mudei absolutamente nada no código nem na configuração do servidor. Eu testei no servidor sandbox de desenvolvimento e tudo passa perfeitamente bem. Magento ver. 1.4.1.0

Isso significa que tudo deve ficar bem em 3 de dezembro?

Observe que todos os meus sites ainda me fornecem as mensagens abaixo ao acessar https://www.poodlescan.com/

"Este servidor suporta o protocolo SSL v3." "Este servidor suporta o protocolo SSL v2. Você realmente deve desabilitar este protocolo."

Qualquer ajuda seria muito apreciada.


Isso significa que seu site já é capaz de executar TLS, mas é vulnerável a um ataque intermediário, que o leva a SSL e depois quebra o fluxo de dados. Suas coisas não quebram quando o outro lado é atualizado, mas você também não está seguro.
Brian Knoblauch

0

Edite o httpd.conf do Apache e adicione o seguinte código:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

Você também pode fazer isso via WHM se tiver um servidor VPS ou servidor dedicado:

Vá para Service Configuration -> Apache Configuration -> Include Editor -> Pre Main Include

e adicione as duas linhas acima.

Em seguida, conecte-se à sandbox do PayPal para testar se o SSLv3 foi desativado ou adicione o código que Randall Hertzler sugeriu em sua resposta.

Eu já fiz o que foi dito acima e funciona bem.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.