Acabei de receber um e-mail do PayPal informando que, devido à vulnerabilidade do Poodle, eles interromperão o suporte ao SSLV3 usando sua API de pagamento a partir de 3 de dezembro de 2014.
Só queria divulgá-lo e perguntar se alguém sabe se isso afetará diretamente a integração de pagamentos do PayPal Payment Pro / Solução Hospedada / Express no Magento 1.9.0.1 (mais recente)?
Se sim - alguém tem uma idéia de como posso corrigir os módulos paypal padrão no magento?
Obrigado!
Respostas:
Pelo que entendi (e me corrija se estiver errado), é de fato a sua empresa de hospedagem (se estiver em uma plataforma compartilhada) ou você mesmo se estiver em um servidor VPS ou Dedicado, por exemplo, que teria que desativar o SSLv3. Seu host deve fazer isso, se ainda não o fez, e se você é responsável por seu próprio servidor, acredito que você pode modificar seu httpd.conf e adicionar o seguinte;
Isso desativará as v2 e v3 e acredito que o TLS é a conexão de fallback padrão.
Isto é, se o Apache estiver configurado, se você estiver usando outra coisa, o código poderá mudar um pouco, mas espero que isso ajude um pouco, mas eu ficaria grato por ouvir outras pessoas opinando sobre isso também.
fonte
Solte este código:
em um arquivo chamado paypal-tls-test.php na raiz do seu site Magento. Em seguida, aponte o seu navegador para ele como http://www.yoursite.com/paypal-tls-test.php . O script tenta fazer uma conexão com a sandbox do PayPal, que não oferece mais suporte ao SSLv3. Se a conexão for bem-sucedida, é uma boa indicação de que você ficará bem. Caso contrário, você tem trabalho a fazer. Obviamente, isso pressupõe que o protocolo real não esteja codificado no Magento em algum lugar (o script verifica a capacidade do seu servidor para fazer a conexão).
fonte
Está tudo na conexão CURL. O que você precisa verificar é que a biblioteca de ondulação do lado do cliente do servidor oferece suporte ao TLS (para que ele possa fazer o fallback).
Crie um script PHP CURL simples com a seguinte definição para forçar o TLS,
Se for bem-sucedido, você não precisa se preocupar com nada. Caso contrário, você provavelmente precisará de uma recompilação de libcurl e openssl
fonte
Até onde eu sei, na antiga configuração Magento 1.4.1.1 do meu cliente, as comunicações principais do Paypal (via curl) não forçam nenhum protocolo específico, portanto, o curl deve usar o TLS quando o Paypal dispensar o suporte ao SSLv3.
Acho que vou descobrir com certeza no dia 3 de dezembro.
fonte
Eu adicionei a seguinte linha:
curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);
em um script php de teste. E este é o resultado após executá-lo através de um navegador:
curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);
está bem? Posso trabalhar com minha versão curl 7.33.0 e paypal também após o dia 3 de dezembro? Eu acho que sim!
Atenciosamente JJ
fonte
Então, meu gerente de contas paypal me liga hoje e diz que meus sites estão usando ssl 3.0 / poodle e não funcionarão após a migração em 3 de dezembro
Eles me apontam para todos esses documentos que basicamente dizem que, se eu puder fazer uma ligação para o servidor sandbox de desenvolvimento e receber uma resposta aceitável, tudo estará bem.
Eu mudei absolutamente nada no código nem na configuração do servidor. Eu testei no servidor sandbox de desenvolvimento e tudo passa perfeitamente bem. Magento ver. 1.4.1.0
Isso significa que tudo deve ficar bem em 3 de dezembro?
Observe que todos os meus sites ainda me fornecem as mensagens abaixo ao acessar https://www.poodlescan.com/
"Este servidor suporta o protocolo SSL v3." "Este servidor suporta o protocolo SSL v2. Você realmente deve desabilitar este protocolo."
Qualquer ajuda seria muito apreciada.
fonte
Edite o httpd.conf do Apache e adicione o seguinte código:
Você também pode fazer isso via WHM se tiver um servidor VPS ou servidor dedicado:
Vá para Service Configuration -> Apache Configuration -> Include Editor -> Pre Main Include
e adicione as duas linhas acima.
Em seguida, conecte-se à sandbox do PayPal para testar se o SSLv3 foi desativado ou adicione o código que Randall Hertzler sugeriu em sua resposta.
Eu já fiz o que foi dito acima e funciona bem.
fonte