Magento - PayPal - SSLV3: ¿Funcionará cuando PayPal descontinúe SSL3 el 3 de diciembre?

15

Acabo de recibir un correo electrónico de PayPal que indica que debido a la vulnerabilidad de Poodle, suspenderán el soporte para SSLV3 usando su API de pago a partir del 3 de diciembre de 2014.

¿Solo quería publicarlo y preguntar si alguien sabe si esto afectará directamente la integración de pagos de PayPal Payment Pro / Hosted Solution / Express en Magento 1.9.0.1 (más reciente)?

Si es así, ¿alguien tiene una idea de cómo puedo arreglar los módulos paypal estándar en magento?

¡Gracias!

ingresar identificación
fuente
Ya hay varios hilos sobre esto en Stack Overflow. Esencialmente, solo necesita conectarse a la API de PayPal a través de TLS usando cURL, sin embargo, eso sucede.
Benmarks
Hola Benmarks .. Hice una búsqueda en esto, pero no realmente en el sitio de desbordamiento de pila, solo en la parte de magento. Acabo de intentar buscar esos hilos para ver si puedo hacer más pruebas pero parece que no puedo encontrarlos, ¿podrían pasarme algunos enlaces? ¡Gracias!
loginid

Respuestas:

2

Según tengo entendido (y corríjame si me equivoco), de hecho, es su empresa de alojamiento (si está en una plataforma compartida) o usted mismo si está en VPS o servidor dedicado, por ejemplo, eso tendría que deshabilitar el SSLv3. Su proveedor de alojamiento web debe hacer esto, si aún no lo ha hecho, y si usted es responsable de su propio servidor, creo que puede modificar su httpd.conf y agregar lo siguiente;

SSLProtocol ALL -SSLv2 -SSLv3

Esto deshabilitará v2 y v3 y creo que TLS es la conexión de respaldo estándar.

Esto es si la configuración de Apache así que si está usando otra cosa, entonces el código puede cambiar ligeramente, pero espero que esto le ayude un poco, pero agradecería escuchar la opinión de otras personas sobre esto también.

Tony Pollard
fuente
Para su información, puede probar para ver si su servidor web tiene SSLv2 o SSLv3 habilitado actualmente usando este sitio foundeo.com/products/iis-weak-ssl-ciphers/test.cfm
Tony Pollard
ahuh! Gracias por eso Tony, creo que eso tiene sentido para mí ahora. Por lo tanto, no tiene nada que ver con la forma en que Magento está codificado, sino que tiene todo que ver con la forma en que la empresa de alojamiento ha configurado qué SSL (o no usando SSL ahora) se usa.
loginid
Tony, lo tienes al frente. Ha mencionado SSLv3 del lado del servidor para las solicitudes entrantes, no las solicitudes salientes iniciadas por el servidor. El correo electrónico de PayPal se refiere a este último.
choco-loo
Sí, bastante loginid, Symantec también ha lanzado una herramienta de verificación. Llevé a cabo el cambio que describí anteriormente en un VPS que tengo y ahora superó ambos cheques, así que no debería tener ningún problema.
Tony Pollard
choco-loo, si mi servidor inicia una solicitud de salida, pero no tiene SSLv3 habilitado, ¿no puede usarlo correctamente? Además, los navegadores y las pasarelas de pago también dejan de admitir SSLv3, así que ¿esto no lo detiene por completo? No creo que Magento incluso use un protocolo particular de todos modos, pero estoy tratando de asegurarme de que todo esté seguro. Estar interesado en conocer sus pensamientos si tiene tiempo.
Tony Pollard
1

Suelta este código:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

en un archivo llamado paypal-tls-test.php en la raíz de su sitio Magento. Luego apunte su navegador hacia él como http://www.yoursite.com/paypal-tls-test.php . El script intenta establecer una conexión con el sandbox de PayPal que ya no es compatible con SSLv3. Si se realiza una conexión exitosa, es una buena indicación de que estará bien. Si no, tienes trabajo que hacer. Por supuesto, esto supone que el protocolo real no está codificado en Magento en alguna parte (el script verifica la capacidad de su servidor para realizar la conexión).

Randall Hertzler
fuente
Este script me dice "no afectado" mientras que poodlescan.com dice "Este servidor admite el protocolo SSL v3". => VULNERABLE.
PiTheNumber
0

Todo está en la conexión CURL. Lo que debe verificar es que la biblioteca de rizos del lado del cliente de sus servidores admite TLS (para que pueda retroceder).

Cree un script PHP CURL simple con la siguiente definición para forzar TLS,

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

Si tiene éxito, no tiene nada de qué preocuparse. De lo contrario, es probable que necesite una compilación de libcurl y openssl

choco-loo
fuente
0

Por lo que puedo decir, en la antigua configuración de Magento 1.4.1.1 de mi cliente, las comunicaciones principales de Paypal (a través de curl) no fuerzan ningún protocolo en particular, por lo que curl debe usar TLS cuando Paypal deje de admitir SSLv3.

Creo que lo sabré con seguridad el 3 de diciembre.

Cada vez más sabio
fuente
Ya debería estar usando TLS, PERO, es vulnerable al MITM forzándolo a retroceder de TLS a SSLv3, que está roto ... El 12/3, el lado del servidor se negará a retroceder a SSL. SI es posible, desea reparar su lado del cliente para no permitir la reversión ahora para proporcionar protección hasta que Paypal finalmente arregle su lado.
Brian Knoblauch
0

Agregué la siguiente línea:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

en una prueba de script PHP. Y este es el resultado después de ejecutarlo a través de un navegador:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

¿esta bien? ¿Podría trabajar con mi versión curl 7.33.0 y paypal también después del 3 de diciembre? ¡Supongo que si!

Saludos JJ

usuario16279
fuente
0

Entonces, mi gerente de cuenta de PayPal me llama hoy y me dice que mis sitios web están usando SSL 3.0 / Poodle y no funcionarán después de la migración el 3 de diciembre.

Me señalan todos estos documentos que básicamente dicen que si puedo hacer una llamada al servidor de sandbox de desarrollo y recibir una respuesta aceptable, entonces todo debería estar bien.

No he cambiado absolutamente nada en el código ni en la configuración del servidor. Probé en el servidor de sandbox de desarrollo y todo funciona perfectamente. Magento ver. 1.4.1.0

¿Esto significa que todo debería estar bien en diciembre 3?

Tenga en cuenta que todos mis sitios web todavía me dan los siguientes mensajes cuando se ejecutan a través de https://www.poodlescan.com/

"Este servidor es compatible con el protocolo SSL v3". "Este servidor admite el protocolo SSL v2. Realmente debería deshabilitar este protocolo".

Cualquier ayuda sería muy apreciada.

Alvin
fuente
Esto significa que su sitio ya puede realizar TLS, pero es vulnerable a un hombre en el medio del ataque que lo obliga a bajar a SSL y luego rompe el flujo de datos. Sus cosas no se romperán cuando se actualice el otro lado, pero tampoco está seguro.
Brian Knoblauch
0

Edite su httpd.conf de Apache y agregue el siguiente código:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

También puede hacerlo a través de WHM si tiene un VPS o un servidor dedicado:

Vaya a Configuración de servicio -> Configuración de Apache -> Incluir editor -> Preincluir inclusión principal

y agregue las dos líneas anteriores.

Luego, puede conectarse a la zona de pruebas de PayPal para probar que SSLv3 ha sido deshabilitado, o puede agregar el código que Randall Hertzler sugirió en su respuesta.

He hecho lo anterior yo mismo y funciona bien.

Miguel
fuente