Magento - PayPal - SSLV3: क्या यह काम करेगा जब PayPal ने 3rd दिसंबर को SSL3 को बंद कर दिया?

15

मुझे सिर्फ Poodle की भेद्यता के कारण पेपाल से एक ईमेल मिला है कि वे 3 दिसंबर 2014 से अपने भुगतान एपीआई का उपयोग करके SSLV3 के लिए समर्थन बंद कर देंगे।

बस इसे बाहर रखना चाहते थे और पूछते थे कि क्या किसी को पता है कि क्या यह सीधे पेपल पेमेंट प्रो / होस्टेड सॉल्यूशन / एक्सप्रेस भुगतान भुगतान को मैगनेटो 1.9.0.1 (नवीनतम) में प्रभावित करेगा?

यदि ऐसा है - किसी को भी अंदाजा है कि मैं कैसे मैग्नेटो में मानक पेपैल मॉड्यूल को ठीक करने के बारे में जा सकता हूं?

धन्यवाद!

paypal

— लॉगिन आईडी
स्रोत

स्टैक ओवरफ्लो पर इस बारे में पहले से ही कई सूत्र हैं। अनिवार्य रूप से, आपको केवल ट्रांसलियर्स के माध्यम से टीएलएस के माध्यम से पेपैल के एपीआई से कनेक्ट करने की आवश्यकता है - हालांकि यह ट्रांसपायर है।

— 3

हाय बेंचमार्क .. मैंने इस पर एक खोज की, लेकिन वास्तव में स्टैक ओवरफ्लो साइट पर नहीं, सिर्फ मैगेंटो भाग। मैंने सिर्फ उन धागों की तलाश करने की कोशिश की है कि क्या मैं और परीक्षण कर सकता हूं लेकिन उन्हें खोजने के लिए प्रतीत नहीं हो सकता, क्या आप मुझे कुछ लिंक दे सकते हैं? धन्यवाद!

— लॉगिन नोव

2

जैसा कि मैं इसे समझता हूं (और कृपया मुझे सही करें अगर मैं गलत हूं) तो यह वास्तव में आपकी होस्टिंग कंपनी है (यदि एक साझा मंच पर) या आप स्वयं यदि वीपीएस या समर्पित सर्वर पर उदाहरण के लिए जिसे SSLv3 को अक्षम करना होगा। आपकी वेब होस्ट को यह करना चाहिए, अगर वे पहले से ही नहीं हैं, और यदि आप अपने स्वयं के सर्वर के लिए जिम्मेदार हैं, तो मेरा मानना है कि आप अपने httpd.conf को संशोधित कर सकते हैं और निम्नलिखित जोड़ सकते हैं;

SSLProtocol ALL -SSLv2 -SSLv3

यह v2 और v3 को अक्षम कर देगा और मेरा मानना है कि TLS मानक फॉलबैक कनेक्शन है।

यदि आप कुछ और का उपयोग कर रहे हैं, तो यह अपाचे कॉन्फिग है, तो कोड थोड़ा बदल सकता है, लेकिन उम्मीद है कि इससे आपको थोड़ी मदद मिलेगी लेकिन मैं इस पर अन्य लोगों के इनपुट को भी सुनकर आभारी रहूंगा।

— टोनी पोलार्ड
स्रोत

आपकी जानकारी के लिए, आप अगर अपने वेब सर्वर वर्तमान में SSLv2 या SSLv3 इस साइट का उपयोग सक्षम है देखने के लिए परीक्षण कर सकते हैं foundeo.com/products/iis-weak-ssl-ciphers/test.cfm

— टोनी पोलार्ड

ahuh! उस टोनी के लिए धन्यवाद - मुझे लगता है कि अब मेरे लिए समझ में आता है। तो इसका उस तरह से कोई लेना देना नहीं है जिस तरह से Magento को कोडित किया गया है, लेकिन होस्टिंग कंपनी ने जिस तरह SSL (या अब SSL का उपयोग नहीं कर रहा है) को कॉन्फ़िगर करने के तरीके के साथ सब कुछ किया है।

— लॉगिन 24

टोनी, आप इसे वापस सामने लाए हैं। आपने इनबाउंड अनुरोधों के लिए सर्वर साइड एसएसएल 3 का उल्लेख किया है, न कि सर्वर ने आउटबाउंड अनुरोधों को शुरू किया है। पेपाल ईमेल बाद से संबंधित है।

— चोको-लूओ

हाँ, बहुत ज्यादा लॉगिन, सिमेंटेक ने एक चेकिंग टूल भी जारी किया है। मैंने अपने ऊपर वर्णित परिवर्तन को अंजाम दिया, मेरे पास एक VPS है और इसकी जाँच दोनों को अब मिल गई है इसलिए मुझे कोई समस्या नहीं होनी चाहिए।

— टोनी पोलार्ड

चोको-लो, अगर मेरा सर्वर एक आउटबाउंड अनुरोध शुरू करता है, लेकिन SSLv3 सक्षम नहीं है, तो यह इसे सही उपयोग नहीं कर सकता है? इसके अलावा ब्राउज़र और पेमेंट गेटवे SSLv3 के लिए भी समर्थन जारी कर रहे हैं, तो क्या यह इसे सभी तरीकों से बंद नहीं करता है? मुझे नहीं लगता कि मैगेंटो किसी भी तरह से एक विशेष प्रोटोकॉल का उपयोग करता है, लेकिन मैं यह सुनिश्चित करने की कोशिश कर रहा हूं कि सब कुछ सुरक्षित है। यदि आपके पास समय है तो अपने विचारों को जानने के लिए इच्छुक रहें।

— टोनी पोलार्ड

1

यह कोड छोड़ें:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

अपने Magento साइट की जड़ में paypal-tls-test.php नामक फाइल में। फिर अपने ब्राउज़र को इंगित करें जैसे कि http://www.yoursite.com/paypal-tls-test.php । स्क्रिप्ट पेपल सैंडबॉक्स से एक कनेक्शन बनाने की कोशिश करती है जो अब SSLv3 का समर्थन नहीं करता है। यदि यह एक सफल संबंध बनाता है तो यह एक अच्छा संकेत है कि आप ठीक हो जाएंगे। यदि नहीं, तो आपको काम करना होगा। यह निश्चित रूप से मानता है कि वास्तविक प्रोटोकॉल कहीं Magento में हार्ड-कोडेड नहीं है (स्क्रिप्ट कनेक्शन बनाने के लिए आपके सर्वर की क्षमता की जांच करता है।)

— रान्डल हर्ट्ज़लर
स्रोत

यह स्क्रिप्ट मुझे "प्रभावित नहीं" बताती है जबकि poodlescan.com का कहना है कि "यह सर्वर SSL v3 प्रोटोकॉल का समर्थन करता है।" => व्यवहार्य।

— PiNNumber

0

CURL कनेक्ट में इसकी सभी। आपको जो जांचने की आवश्यकता है वह यह है कि आपके सर्वर क्लाइंट-साइड कर्ल लाइब्रेरी TLS का समर्थन करते हैं (ताकि यह कमबैक कर सके)।

TLS को लागू करने के लिए निम्नलिखित परिभाषा के साथ एक सरल PHP CURL स्क्रिप्ट बनाएं,

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

सफल होने पर, आपको चिंता करने की कोई बात नहीं है। यदि नहीं, तो आपको libcurl और Opensl के एक recompile की आवश्यकता होगी

— चोको-लू
स्रोत

0

जहां तक मैं बता सकता हूं, मेरे ग्राहक के प्राचीन Magento 1.4.1.1 सेटअप पर, कोर पेपैल संचार (कर्ल के माध्यम से) किसी विशेष प्रोटोकॉल को मजबूर नहीं करते हैं, इसलिए SSLv3 के लिए पेपैल ड्रॉप समर्थन करते समय कर्ल को टीएलएस का उपयोग करना चाहिए।

मुझे लगता है कि मैं 3 दिसंबर को सुनिश्चित करने के लिए पता लगाऊंगा।

— समझदार हो रहा है
स्रोत

यह अब पहले से ही टीएलएस का उपयोग करना चाहिए, लेकिन, यह एमआईटीएम के लिए कमजोर है, जो टीएलएस से एसएसएलवी 3 को रोलबैक करने के लिए मजबूर करता है, जो टूट गया है ... 12/3 पर, सर्वर पक्ष एसएसएलबी पर रोलबैक करने से इनकार कर देगा। यदि संभव हो तो आप अपने क्लाइंट पक्ष को रोलबैक की अनुमति नहीं देने के लिए अभी से सुरक्षा प्रदान करना चाहते हैं, जब तक कि पेपैल अंततः अपना पक्ष ठीक नहीं करता है।

— ब्रायन नोब्लुच

0

मैंने निम्नलिखित पंक्ति जोड़ी:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

एक परीक्षण php स्क्रिप्ट में। ब्राउज़र के माध्यम से इसे निष्पादित करने के बाद यह परिणाम है:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

यह ठीक है? क्या मैं अपने कर्ल 7.33.0 संस्करण के साथ काम कर सकता हूं और पेपल भी थ्री डी के बाद? मुझे लगता है, हाँ!

सादर जे जे

— user16279
स्रोत

0

तो मेरा पेपैल खाता प्रबंधक आज मुझे फोन करता है और मुझे बताता है कि मेरी वेबसाइट ssl 3.0 / poodle का उपयोग कर रही है और Dec.3 पर माइग्रेशन के बाद काम नहीं करेगी

वे मुझे इन सभी दस्तावेजों पर इंगित करते हैं जो मूल रूप से कहते हैं कि अगर मैं विकास सैंडबॉक्स सर्वर को कॉल कर सकता हूं और एक स्वीकार्य प्रतिक्रिया प्राप्त कर सकता हूं तो सब कुछ ठीक होना चाहिए।

मैंने कोड में बिल्कुल कुछ नहीं बदला है और न ही सर्वर कॉन्फिगर। मैंने विकास सैंडबॉक्स सर्वर पर परीक्षण किया और सब कुछ पूरी तरह से ठीक हो जाता है। Magento ver। 1.4.1.0

क्या इसका मतलब यह है कि सब कुछ ठीक होना चाहिए Dec.3।

ध्यान दें, https://www.poodlescan.com/ के माध्यम से चलने पर मेरी सभी वेबसाइटें मुझे अभी भी नीचे दिए गए संदेश दे रही हैं

"यह सर्वर SSL v3 प्रोटोकॉल का समर्थन करता है।" "यह सर्वर SSL v2 प्रोटोकॉल का समर्थन करता है। आपको वास्तव में इस प्रोटोकॉल को अक्षम करना चाहिए।"

किसी भी तरह की सहायता का स्वागत किया जाएगा।

— एल्विन
स्रोत

इसका मतलब है कि आपकी साइट पहले से ही टीएलएस करने में सक्षम है, लेकिन मध्य हमले के एक व्यक्ति के लिए असुरक्षित है जो आपको एसएसएल के लिए मजबूर करता है और फिर डेटा स्ट्रीम को क्रैक करता है। दूसरी तरफ अपग्रेड होने पर आपका सामान नहीं टूटेगा, लेकिन आप सुरक्षित नहीं हैं।

— ब्रायन नोब्लुच

0

आपको Apache httpd.conf संपादित करें और निम्नलिखित कोड जोड़ें:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

यदि आपके पास VPS या समर्पित सर्वर है, तो आप WHM के माध्यम से भी ऐसा कर सकते हैं:

सेवा कॉन्फ़िगरेशन पर जाएं -> अपाचे कॉन्फ़िगरेशन -> संपादक शामिल करें -> पूर्व मुख्य शामिल करें

और उपरोक्त दोनों पंक्तियों को जोड़ दें।

तब आप पेपाल सैंडबॉक्स से कनेक्ट कर सकते हैं कि आप का परीक्षण करने के लिए SSLv3 को निष्क्रिय कर दिया गया है, या आप उसके जवाब में सुझाए गए रान्डल हर्ट्ज़लर को जोड़ सकते हैं।

मैंने ऊपर खुद किया है और यह ठीक काम करता है।

— माइक
स्रोत