Magento - PayPal - SSLV3: มันจะทำงานเมื่อ PayPal หยุด SSL3 ในวันที่ 3 ธันวาคมหรือไม่

ฉันเพิ่งได้รับอีเมลจาก PayPal ระบุเนื่องจากช่องโหว่ของพุดเดิ้ลพวกเขาจะยุติการสนับสนุน SSLV3 โดยใช้ API การชำระเงินของพวกเขาตั้งแต่วันที่ 3 ธันวาคม 2014

แค่อยากจะวางไว้ที่นั่นและถามว่าใครรู้หรือไม่ว่าสิ่งนี้จะส่งผลโดยตรงกับการรวม PayPal Pro Pro / Hosted Solution / Express Payments รวมใน Magento 1.9.0.1 (ล่าสุด) หรือไม่

ถ้ามีใครมีความคิดว่าฉันจะไปแก้ไขโมดูล paypal มาตรฐานใน magento ได้อย่างไร

ขอบคุณ!

ตามที่ฉันเข้าใจแล้ว (และโปรดแก้ไขให้ถูกต้องหากฉันผิด) ว่าอันที่จริงแล้ว บริษัท โฮสติ้งของคุณ (ถ้าบนแพลตฟอร์มที่ใช้ร่วมกัน) หรือตัวคุณเองถ้าอยู่บน VPS หรือเซิร์ฟเวอร์เฉพาะเช่นที่จะต้องปิดการใช้งาน SSLv3 ผู้ให้บริการพื้นที่เว็บของคุณควรทำสิ่งนี้หากยังไม่ได้ดำเนินการและหากคุณรับผิดชอบเซิร์ฟเวอร์ของคุณเองฉันเชื่อว่าคุณสามารถแก้ไข httpd.conf และเพิ่มรายการต่อไปนี้

SSLProtocol ALL -SSLv2 -SSLv3

สิ่งนี้จะปิดใช้งาน v2 และ v3 และฉันเชื่อว่า TLS เป็นการเชื่อมต่อทางเลือกมาตรฐาน

นี่คือหาก Apache กำหนดค่าดังนั้นหากคุณใช้อย่างอื่นรหัสอาจเปลี่ยนไปเล็กน้อย แต่หวังว่านี่จะช่วยคุณได้เล็กน้อย แต่ฉันก็ยินดีที่จะรับฟังความคิดเห็นจากคนอื่น ๆ ด้วยเช่นกัน

วางรหัสนี้:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

ในไฟล์ชื่อ paypal-tls-test.php ในรูทของเว็บไซต์ Magento ของคุณ แล้วชี้เบราว์เซอร์ของคุณเพื่อมันเหมือนhttp://www.yoursite.com/paypal-tls-test.php สคริปต์พยายามเชื่อมต่อกับช่องทาง PayPal ที่ไม่รองรับ SSLv3 อีกต่อไป หากทำการเชื่อมต่อสำเร็จแสดงว่าคุณใช้งานได้ดี ถ้าไม่คุณมีงานต้องทำ แน่นอนว่านี้ถือว่าโปรโตคอลจริงไม่ได้มีการกำหนดค่าตายตัวใน Magento ไว้ที่ใดที่หนึ่ง (สคริปต์ตรวจสอบความสามารถของเซิร์ฟเวอร์ในการเชื่อมต่อ)

มันอยู่ในการเชื่อมต่อ CURL สิ่งที่คุณต้องตรวจสอบคือไลบรารี curl ฝั่งไคลเอ็นต์ของเซิร์ฟเวอร์รองรับ TLS (เพื่อให้สามารถย้อนกลับได้)

สร้างสคริปต์ PHP CURL อย่างง่ายพร้อมคำจำกัดความต่อไปนี้เพื่อบังคับใช้ TLS

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

หากประสบความสำเร็จคุณไม่มีอะไรต้องกังวล หากไม่เป็นเช่นนั้นคุณอาจต้องใช้ libcurl และ openssl อีกครั้ง

เท่าที่ฉันสามารถบอกได้จากการตั้งค่า Magento 1.4.1.1 โบราณของลูกค้าการสื่อสารหลักของ Paypal (ผ่านทาง curl) ไม่ได้บังคับโปรโตคอลใด ๆ ดังนั้น Curl ควรใช้ TLS เมื่อ Paypal รองรับ SSLv3

ฉันเดาว่าฉันจะรู้ได้อย่างแน่นอนในวันที่ 3 ธันวาคม

ฉันเพิ่มบรรทัดต่อไปนี้:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

เป็นสคริปต์ทดสอบ PHP นี่คือผลลัพธ์หลังจากเรียกใช้งานผ่านเบราว์เซอร์:

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

ตกลงไหม ฉันสามารถทำงานกับ curl รุ่น 7.33.0 และ paypal หลังจากวันที่ 3 ธันวาคมได้หรือไม่ ฉันเดาใช่!

ขอแสดงความนับถือ JJ

ดังนั้นผู้จัดการบัญชี paypal ของฉันโทรหาฉันวันนี้และบอกฉันว่าเว็บไซต์ของฉันใช้ ssl 3.0 / poodle และจะไม่ทำงานหลังจากการย้ายข้อมูลในวันที่ 3 ธันวาคม

พวกเขาชี้ให้ฉันเห็นเอกสารเหล่านี้ทั้งหมดซึ่งโดยทั่วไปบอกว่าถ้าฉันสามารถโทรไปยังเซิร์ฟเวอร์แซนด์บ็อกซ์การพัฒนาและได้รับการตอบรับที่ยอมรับได้ทุกอย่างก็โอเค

ฉันไม่ได้เปลี่ยนอะไรเลยในรหัสหรือการกำหนดค่าเซิร์ฟเวอร์ ฉันทดสอบบนเซิร์ฟเวอร์แซนด์บ็อกซ์การพัฒนาและทุกอย่างผ่านไปได้อย่างสมบูรณ์แบบ วีโอไอพีเวอร์ชั่น 1.4.1.0

สิ่งนี้หมายความว่าทุกสิ่งควรจะตกลงมาวันที่ 3 ธันวาคม?

หมายเหตุเว็บไซต์ทั้งหมดของฉันยังคงให้ข้อความด้านล่างเมื่อทำงานผ่านhttps://www.poodlescan.com/

"เซิร์ฟเวอร์นี้รองรับโปรโตคอล SSL v3" "เซิร์ฟเวอร์นี้รองรับโปรโตคอล SSL v2 คุณควรปิดใช้งานโปรโตคอลนี้จริง ๆ "

ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชมอย่างมาก.

แก้ไข httpd.conf ของ Apache ให้คุณและเพิ่มรหัสต่อไปนี้:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

คุณสามารถทำได้ผ่าน WHM หากคุณมี VPS หรือเซิร์ฟเวอร์เฉพาะ:

ไปที่การกำหนดค่าบริการ -> การกำหนดค่า Apache -> รวมตัวแก้ไข -> รวมหลักไว้ล่วงหน้า

และเพิ่มสองบรรทัดด้านบน

จากนั้นคุณอาจเชื่อมต่อกับ PayPal sandbox เพื่อทดสอบว่า SSLv3 ถูกปิดใช้งานหรือคุณอาจเพิ่มรหัส Randall Hertzler ที่แนะนำในคำตอบของเขา

ฉันทำไปแล้วและใช้งานได้ดี