Neu Paypal Sicherheitsupgrades

[trother]

Hallo,

wir haben eine Email von Paypal erhalten, in der um ein Sicherheitsupgrade gebeten wird, um Händlern und Endkunden die größt mögliche Sicherheit zu gewährleisten.

Nun ist die Frage, ob diese Upgrades von JTL direkt durchgeführt werden oder wie wir diese durchführen können.

Es handelt sich um folgende Punkte laut Paypal:

• TLS 1.2- und HTTP/1.1-Upgrade - bis Juni 2018
- Update erforderlich: Yes

• Postback zur Verifizierung von IPN an HTTPS - bis Juni 2018
- Update erforderlich: No

• Einstellung der GET-Methode für Classic NVP/SOAP APIs - bis Juni 2018
- Update erforderlich: No

• Upgrade der Händler-API-Berechtigung (Zertifikat) - bis Juni 2018
• Bitte beachten Sie, dass abhängig vom Ablaufdatum Ihres Zertifikats dieses Upgrade ggf. vorher abgeschlossen ist.
- Update erforderlich: No

 

[SILENTGATE]

Einer unserer Kunden (JTL Shop 3) hat das aber auch bekommen, obwohl er die aktuellste Shopverison hat. Aber wahrscheinlich lag es am IPN-Pfad.

Kann man das paypaltest.php script vom letzten Jahr noch irgendwo downloaden? Der Link unter dev. funktioniert nicht mehr.

 

[Neodym]

Wir haben das auch bekommen, wir haben zwei JTL 4.05 - Shops.
Ist das relevant?

 

[trother]

Hat schon jemand Infos zu diesem Thema?

 

[rote-locke]

Hier besteht ebenfalls Interesse an eine Antwort dieser Frage. Gleiche Mail kam auch zu uns.

 

[saw]

und bei uns auch....

 

[JulianG]

• TLS 1.2- und HTTP/1.1-Upgrade - bis Juni 2018
- Update erforderlich: Yes

Das ist ein Hosting Thema, kein JTL- Shop Thema. Ihr müsst bei eurem Hoster anfragen, ob TLS 1.2 und HTTP/1.1 unterstützt wird.

JTL-Shop Hosting bei uns: Wird beides unterstützt, da braucht ihr nichts mehr machen.

 

[trother]

Das ist ein Hosting Thema, kein JTL- Shop Thema. Ihr müsst bei eurem Hoster anfragen, ob TLS 1.2 und HTTP/1.1 unterstützt wird.

JTL-Shop Hosting bei uns: Wird beides unterstützt, da braucht ihr nichts mehr machen.

Ah okay, da wir über JTL alles haben, wird dann für uns keine Arbeit auf uns zukommen, danke für die Info.

 

[rote-locke]

Wir haben es jetzt hierüber getestet: https://www.ssllabs.com/ssltest/

Dann wird eigentlich schnell klar ob und wo Handlungsbedarf besteht. Haken setzen nicht vergessen, wenn die eigene Domain nicht in der Übersicht auftauchen soll.

 

[sanoba]

Wir haben heute die Mail auch bekommen, laut Hoster und Testscript ist aber alles okay und TLS 1.2 und HTTP/1.1 werden unterstützt.

Hier scheint das Testscript von Paypal falsche Werte auszuspucken...

 

[Mario.]

Wir haben folgendes Problem mit PayPal (1.08) wenn ich die TLS 1.2 Unterstützung prüfe:
SSL certificate problem: unable to get local issuer certificate

Wir haben jedoch TLS 1.2. Der Fehler kommt seit gestern Abend.
Wo liegt das Problem?

 

[Indy1]

Hi !
Ich habe das gleiche Problem seit dem update, mein Hoster will jetzt beginnen zu debuggen um festzustellen wo der Fehler sitzt.
Fakt ist - irgendwas muss passiert sein - warum kommt jetzt ein Fehler wo früher keiner war ?
lg, Jacky

 

[Mario.]

Ich bin gespannt.

 

[Indy1]

Sodala - mein Provider hat den Fehler gefunden und behoben...
Anscheinend wird im Plugin 1.8 und 1.9 eine veraltete ca-Liste mitgeschickt - und die darin enthaltenen Zertifikate gelten als unsicher, daher der Fehler.
Ich wurde auch gefragt warum JTL die überhaupt mitliefert weil sie angeblich eh irgendwo öffentlich zugänglich sind, aber da habe ich nicht weiter nachgefragt.
Wenn aktuelle CA-Dateien hinterlegt werden ist die Fehlermeldung weg und alles funktioniert *freu*

Ich geh jetzt auf meinen Hoster anstoßen - sehr löblicher Kundensupport, bin begeistert !

lg, Jacky

 

[lj-shadow]

Anscheinend wird im Plugin 1.8 und 1.9 eine veraltete ca-Liste mitgeschickt - und die darin enthaltenen Zertifikate gelten als unsicher...

lg, Jacky

Demnach müssten ja nahezu alle diesen Fehler erhalten, oder hab ich das falsch verstanden?
Das PayPal-Modul 1.09 zick bei mir jedoch nicht rum und diese Mail hab ich - zumindest in der letzten Zeit - nicht erhalten.

 

[Indy1]

Das Modul zickt auch nur wenn man z.B. wie ich ein neues SSL-Zertifikat hatte und beim früheren Zertifikat die damalige IP nun neu vergeben wurde (und nicht mehr mir gehört), oder wenn aus welchem Grund auch immer kein Host-Name mitgeschickt wird.

Das CA-Bundle liegt im Ordner /jtl-Paypal/Version/109/adminmenu/cacert.pem

lg, Jacky

 

[kirstein.markus]

Bei uns sagt das Testscript, dass alles Okay sei.
Dennoch haben wir einen Brief erhalten.
Und nun? Drauf ankommen lassen und am 1. Juli testen?
Wir haben 1x den ShopV4 und 4x den ShopV3 und sind übrigens auch bei All-Inkl.

 

[wawi-dl]

Wir haben auch eine Email und einen Brief erhalten, das ist alles Proforma.

 

[JulianG]

Hier nochmal ein Skript zum Test von PayPal: https://blog.hostonnet.com/php-script-to-verify-tls-1-2
Angehängte Datei entpacken, im Shop-Hauptverzeichnis hochladen und dann im Browser aufrufen. Wenn "TLS 1.2" dort steht, ist das schonmal gut. Testskript anschließend wieder löschen.

Weiterer Test: In den PayPal Zahlungsart-Einstellungen könnt ihr den Sandbox Modus aktivieren (mit PayPal Plugin-Zahlungsarten am besten dann im Wartungsmodus, mit der alten PayPal Zahlungsart KEIN Wartungsmodus, sonst ist das der Grund dafür das keine Zahlung im Shop ankommt! Da also eher testen wenn weniger los ist im Shop). Die Sandbox-Umgebung von PayPal erlaubt bereits TLS 1.0 nicht mehr. Also wenn eine Testbestellung im Sandbox-Modus erfolgreich durchgeführt wird, dann seid ihr auf der sicheren Seite.

Mehr zum Sandbox-Modus:
https://www.paypal.com/de/webapps/mpp/communication/sandbox
https://developer.paypal.com/docs/classic/lifecycle/sb_create-accounts/

 

[metti]

Bei uns kam der Brief von Paypal heute an, da waren wir erst einmal geschockt. Laut dem oben bzw. in den FAQ verlinkten Testscript, ist aber alles in Ordnung.
Wir nutzen nur die Basic Integration von Paypal welche mit dem Shop (4.05 (Build: 4)) mitgeliefert wird und kein Plugin.

Verstehe ich das nun richtig, dass somit kein Problem vorliegt und es nach dem 30 Juni 2018 zu keinen Problemen führen sollte.