Magento - PayPal - SSLV3: क्या यह काम करेगा जब PayPal ने 3rd दिसंबर को SSL3 बंद कर दिया?

मुझे सिर्फ Poodle की भेद्यता के कारण पेपाल से एक ईमेल मिला है कि वे 3 दिसंबर 2014 से अपने भुगतान एपीआई का उपयोग करके SSLV3 के लिए समर्थन बंद कर देंगे।

बस इसे बाहर रखना चाहते थे और पूछते थे कि क्या कोई जानता है कि क्या यह सीधे पेपल पेमेंट प्रो/होस्टेड सॉल्यूशन/एक्सप्रेस भुगतान भुगतान को मैगनेटो 1.9.0.1 (नवीनतम) में प्रभावित करेगा?

यदि ऐसा है - किसी को भी अंदाजा है कि मैं कैसे मैग्नेटो में मानक पेपैल मॉड्यूल को ठीक करने के बारे में जा सकता हूं?

धन्यवाद!

15
स्टैक ओवरफ्लो पर इस बारे में पहले से ही कई सूत्र हैं। अनिवार्य रूप से, आपको केवल ट्रांसलियर्स के माध्यम से टीएलएस के माध्यम से पेपैल के एपीआई से कनेक्ट करने की आवश्यकता है - हालांकि यह ट्रांसपायर है।
जोड़ा लेखक Jon Galloway, स्रोत
हाय बेंचमार्क .. मैंने इस पर एक खोज की, लेकिन वास्तव में स्टैक ओवरफ्लो साइट पर नहीं, बस मैजेंटो भाग। मैंने सिर्फ उन धागों की तलाश करने की कोशिश की है कि क्या मैं और परीक्षण कर सकता हूं लेकिन उन्हें खोजने के लिए प्रतीत नहीं हो सकता, क्या आप मुझे कुछ लिंक दे सकते हैं? धन्यवाद!
जोड़ा लेखक bmdhacks, स्रोत

7 उत्तर

जैसा कि मैं इसे समझता हूं (और कृपया मुझे सही करें यदि मैं गलत हूं) तो यह वास्तव में आपकी होस्टिंग कंपनी (यदि एक साझा मंच पर है) या आप स्वयं यदि वीपीएस या समर्पित सर्वर पर हैं उदाहरण के लिए जिसे SSLv3 को अक्षम करना होगा। आपकी वेब होस्ट को यह करना चाहिए, अगर वे पहले से ही नहीं हैं, और यदि आप अपने स्वयं के सर्वर के लिए जिम्मेदार हैं, तो मेरा मानना ​​है कि आप अपने httpd.conf को संशोधित कर सकते हैं और निम्नलिखित जोड़ सकते हैं;

SSLProtocol ALL -SSLv2 -SSLv3

यह v2 और v3 को अक्षम कर देगा और मेरा मानना ​​है कि TLS मानक फॉलबैक कनेक्शन है।

यदि आप कुछ और का उपयोग कर रहे हैं तो यह अपाचे कॉन्फिग है, तो कोड थोड़ा बदल सकता है, लेकिन उम्मीद है कि इससे आपको थोड़ी मदद मिलेगी लेकिन मैं इस पर अन्य लोगों के इनपुट को भी सुनकर आभारी रहूंगा।

2
जोड़ा
ahuh! उस टोनी के लिए धन्यवाद - मुझे लगता है कि अब मेरे लिए समझ में आता है। तो इसका उस तरह से कोई लेना देना नहीं है जिस तरह से Magento को कोड किया गया है, लेकिन होस्टिंग कंपनी ने जिस तरह SSL (या अब SSL का उपयोग नहीं कर रहा है) को कॉन्फ़िगर करने के तरीके के साथ सब कुछ किया है।
जोड़ा लेखक bmdhacks, स्रोत
टोनी, आप इसे वापस सामने लाए हैं। आपने इनबाउंड अनुरोधों के लिए सर्वर साइड SSLv3 का उल्लेख किया है, न कि सर्वर ने आउटबाउंड अनुरोधों को शुरू किया है। पेपाल ईमेल बाद से संबंधित है।
जोड़ा लेखक Ramesh, स्रोत
आपकी जानकारी के लिए, आप यह देखने के लिए परीक्षण कर सकते हैं कि क्या आपके वेब सर्वर में वर्तमान में SSLv2 या SSLv3 इस साइट का उपयोग करके सक्षम है Foundeo.com/products/iis-weak-ssl-ciphers/test.cfm
जोड़ा लेखक Teecup, स्रोत
हाँ, बहुत ज्यादा लॉगिन, सिमेंटेक ने एक जाँच उपकरण भी जारी किया है। मैंने अपने द्वारा बताए गए बदलाव को एक VPS पर किया है और इसके दोनों चेक को अब मैं किसी भी मुद्दे पर नहीं लेना चाहता।
जोड़ा लेखक Teecup, स्रोत
चोको-लो, अगर मेरा सर्वर एक आउटबाउंड अनुरोध शुरू करता है, लेकिन SSLv3 सक्षम नहीं है, तो यह सही उपयोग नहीं कर सकता? इसके अलावा ब्राउजर और पेमेंट गेटवे SSLv3 के लिए भी समर्थन जारी कर रहे हैं, तो क्या यह सभी रास्तों को बंद नहीं करता है? मुझे नहीं लगता कि मैगेंटो किसी भी तरह से एक विशेष प्रोटोकॉल का उपयोग करता है, लेकिन मैं यह सुनिश्चित करने की कोशिश कर रहा हूं कि सब कुछ सुरक्षित है। यदि आपके पास समय है तो अपने विचारों को जानने के लिए इच्छुक रहें।
जोड़ा लेखक Teecup, स्रोत
नीचे अपने अपडेट के लिए चोको-लू धन्यवाद, मैं इसे स्पष्ट रूप से रेट कर सकता हूं क्योंकि मैंने जादू नंबर 15 को अभी तक हिट किया है! मैं आज सुबह इस सटीक बात को पढ़ रहा था और मेरी साइट के साथ सब ठीक है :) आपके समय के लिए बहुत-बहुत धन्यवाद।
जोड़ा लेखक Teecup, स्रोत

यह कोड छोड़ें:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

अपने Magento साइट की जड़ में paypal-tls-test.php नामक फाइल में। फिर अपने ब्राउज़र को इसे http://www.yoursite.com/paypal-tls- जैसे इंगित करें test.php । स्क्रिप्ट पेपल सैंडबॉक्स से एक कनेक्शन बनाने की कोशिश करती है जो अब SSLv3 का समर्थन नहीं करता है। यदि यह एक सफल संबंध बनाता है तो यह एक अच्छा संकेत है कि आप ठीक हो जाएंगे। यदि नहीं, तो आपको काम करना होगा। यह निश्चित रूप से मानता है कि वास्तविक प्रोटोकॉल कहीं Magento में हार्ड-कोडेड नहीं है (स्क्रिप्ट कनेक्शन बनाने के लिए आपके सर्वर की क्षमता की जांच करता है।)

1
जोड़ा
यह स्क्रिप्ट मुझे "प्रभावित नहीं" बताती है जबकि poodlescan.com का कहना है कि "यह सर्वर SSL v3 प्रोटोकॉल का समर्थन करता है।" => व्यवहार्य।
जोड़ा लेखक Polsonby, स्रोत

CURL कनेक्ट में इसकी सभी। आपको जो जांचने की आवश्यकता है वह यह है कि आपके सर्वर क्लाइंट-साइड कर्ल लाइब्रेरी TLS को सपोर्ट करते हैं (ताकि यह कमबैक कर सके)।

TLS को लागू करने के लिए निम्न परिभाषा के साथ एक सरल PHP CURL स्क्रिप्ट बनाएं

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

सफल होने पर, आपको चिंता करने की कोई बात नहीं है। यदि नहीं, तो आपको libcurl और Opensl के एक recompile की आवश्यकता होगी

0
जोड़ा

मैंने निम्नलिखित पंक्ति जोड़ी:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

एक परीक्षण PHP स्क्रिप्ट में। ब्राउज़र के माध्यम से इसे निष्पादित करने के बाद यह परिणाम है:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

यह ठीक है? क्या मैं अपने कर्ल के साथ काम कर सकता था 7.33.0 संस्करण और पेपैल भी थ्री डी के बाद? मुझे लगता है, हाँ!

सादर जे जे

0
जोड़ा

जहां तक ​​मैं बता सकता हूं, मेरे ग्राहक के प्राचीन Magento 1.4.1.1 सेटअप पर, कोर पेपैल संचार (कर्ल के माध्यम से) किसी विशेष प्रोटोकॉल को मजबूर नहीं करते हैं, इसलिए SSLv3 के लिए पेपैल ड्रॉप समर्थन करते समय कर्ल को टीएलएस का उपयोग करना चाहिए।

मुझे लगता है कि मैं 3 दिसंबर को सुनिश्चित करने के लिए पता लगाऊंगा।

0
जोड़ा
यह अब पहले से ही टीएलएस का उपयोग करना चाहिए, लेकिन, यह टीएलएस से एसएसएलवी 3 को रोलबैक करने के लिए मजबूर करने के लिए एमआईटीएम के लिए असुरक्षित है, जो टूट गया है ... 12/3 पर, सर्वर पक्ष एसएसएलबी पर रोलबैक करने से इनकार कर देगा। यदि संभव हो तो आप अपने क्लाइंट पक्ष को रोलबैक अब को अनुमति देने के लिए ठीक करना चाहते हैं जब तक कि पेपैल अंत में अपने पक्ष को ठीक नहीं करता।
जोड़ा लेखक Zoe.e.a.d., स्रोत

आपको Apache httpd.conf संपादित करें और निम्नलिखित कोड जोड़ें:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

यदि आपके पास VPS या समर्पित सर्वर है, तो आप WHM के माध्यम से भी ऐसा कर सकते हैं:

Go to Service Configuration -> Apache Configuration -> Include Editor -> Pre Main Include

और उपरोक्त दोनों पंक्तियों को जोड़ दें।

फिर आप पेपाल सैंडबॉक्स से कनेक्ट कर सकते हैं कि आपको परीक्षण करने के लिए SSLv3 को निष्क्रिय कर दिया गया है, या आप उसके जवाब में सुझाए गए रैंडल हर्ट्ज़लर को जोड़ सकते हैं।

मैंने ऊपर खुद किया है और यह ठीक काम करता है।

0
जोड़ा

तो मेरा पेपैल खाता प्रबंधक मुझे आज फोन करता है और मुझे बताता है कि मेरी वेबसाइटें ssl 3.0/poodle का उपयोग कर रही हैं और Dec.3 पर प्रवास के बाद काम नहीं करेंगी

वे मुझे इन सभी दस्तावेजों पर इंगित करते हैं जो मूल रूप से कहते हैं कि अगर मैं विकास सैंडबॉक्स सर्वर पर कॉल कर सकता हूं और स्वीकार्य प्रतिक्रिया प्राप्त कर सकता हूं तो सब कुछ ठीक होना चाहिए।

मैंने कोड में बिल्कुल कुछ नहीं बदला है और न ही सर्वर कॉन्फिगर। मैंने विकास सैंडबॉक्स सर्वर पर परीक्षण किया और सब कुछ पूरी तरह से ठीक हो गया। Magento ver। 1.4.1.0

क्या इसका मतलब यह है कि सब कुछ ठीक होना चाहिए Dec.3।

Note, all my websites still giving me the below messages when running through https://www.poodlescan.com/

"यह सर्वर SSL v3 प्रोटोकॉल का समर्थन करता है।" "यह सर्वर SSL v2 प्रोटोकॉल का समर्थन करता है। आपको वास्तव में इस प्रोटोकॉल को अक्षम करना चाहिए।"

किसी भी तरह की सहायता का स्वागत किया जाएगा।

0
जोड़ा
इसका मतलब है कि आपकी साइट पहले से ही टीएलएस करने में सक्षम है, लेकिन मध्य हमले के एक व्यक्ति के लिए असुरक्षित है जो आपको एसएसएल के लिए मजबूर करता है और फिर डेटा स्ट्रीम को क्रैक करता है। दूसरी तरफ अपग्रेड होने पर आपका सामान नहीं टूटेगा, लेकिन आप सुरक्षित नहीं हैं।
जोड़ा लेखक Zoe.e.a.d., स्रोत