Offen PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

John

Sehr aktives Mitglied
3. März 2012
2.592
496
Berlin
Ich habe hier eben eine eMail von PayPal bzgl. Änderungen an den Sicherheitsfunktionen von PayPal und an der API Anbindung bekommen.

Demnach ist auf meiner Shopinstallation folgendes bemängelt:

Upgrade der SSL-Zertifikate auf SHA-256

und

Upgrade auf TLS 1.2 und HTTP/1.1



Der betroffene Shop läuft aktuell ohne SSL Verschlüsselung. Ist das für das Problem verantwortlich oder muß hier JTL den Shop updaten oder liegt das an meinem Hosting?

Habt Ihr diese eMail auch bekommen?
 

LambrettaSX

Aktives Mitglied
28. Juli 2009
67
0
AW: PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

habe die selbige bekommen. Wir haben aber bereits shop 4.02
 

John

Sehr aktives Mitglied
3. März 2012
2.592
496
Berlin
AW: PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

OK, Testscript meldet "betroffen".

Ich habe 3.20 Build 4 und somit ist die Umstellung von SSL nach TLS in /includes/modules/paypal/PayPal.class.php bereits erfolgt. Das habe ich auch überprüft, indem ich mir die im Code angeschaut habe.

Trotz alledem hat mir PayPal ja besagte eMail gesendet.

Was bedeutet das unter Strich? Müssen betroffene handeln?
 

ag-websolutions.de

Sehr aktives Mitglied
29. Dezember 2009
14.548
232
AW: PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

Das Testscript meldet "betroffen", weil DEIN SERVER eine Verbindung über das SSL-protokoll zulässt, wobei diese eigentlich duch den Webhoster geblockt sein sollte/müsste.

Das hat jetzt gar nichts mit dem JTL- Shop zu tun, da der 320er eben keine SSL-Verbindung mehr nutzt, sondern eine TLS-Verbindung.

Also .. Fazit ... dein Shop ist safe, jedoch solltest du mal deinen Webhoster kontaktieren und ihm das GENERELLE problem schildern.

Bitte stelle auch mal den kompletten Wortlaut dieser besagten PP-Mail hier rein
 

Tscherno

Gut bekanntes Mitglied
AW: PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

Moin,

wir haben gestern die gleiche Mail bekommen. Zweimal stand "Betroffen - Ja" drin:


Konnte ich mir gar nicht erklären, da wird Cloudflare nutzen und dort alles ok sein sollte.

Wenn ich mir die Microsite von Paypal zu dem Thema anschaue, geht es aber auch gar nicht um die Verbindung Paypal=>Shopserver sondern um Shopserver=>Payapl. Und die ausgehenden Verbindungen müssen wohl TLS 1.2 und HTTP/1.1 unterstützen. Ich wüsste aber nicht wie ich das beeinflussen oder prüfen kann. Macht das Testscript das mit einer kurzen Verbindung zu ssl://www.sandbox.paypal.com? Ist damit tatsächlich alles ok? Mich verunsichert eben die Angaben in der Mail.
 

John

Sehr aktives Mitglied
3. März 2012
2.592
496
Berlin
AW: PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

Meldet bei mir "Unable to connect to server"

Grundsatzfrage: Muß mein Shop SSL Verschlüsselung anbieten, damit PayPal in Zukunft funktioniert? Oder ist das etwas ganz anderes?
 

Tscherno

Gut bekanntes Mitglied

Tscherno

Gut bekanntes Mitglied
AW: PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

Ich habe mir das Testscript nochmal genauer angeschaut:

<?php

$url = 'ssl://www.sandbox.paypal.com';

$fp = fsockopen($url, 443);
if (is_resource($fp)) {
echo 'nicht betroffen' . PHP_EOL;
}
else {
echo 'betroffen' . PHP_EOL;
}


Das klappt. Aber folgendes klappt bei mir nicht:

<?php

$url = 'tls://www.sandbox.paypal.com';

$fp = fsockopen($url, 443);
if (is_resource($fp)) {
echo 'nicht betroffen' . PHP_EOL;
}
else {
echo 'betroffen' . PHP_EOL;
}

liefert:

Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure in paypaltest.php on line 5

Ich würde mal behaupten, dass ab 17. Juni damit nichts mehr klappt:
[h=3]Production Endpoints - Ready after June 17, 2016[/h] The Production endpoints will only allow TLS 1.2 and HTTP/1.1 connections
 

John

Sehr aktives Mitglied
3. März 2012
2.592
496
Berlin
AW: PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

...jetzt mal unabhängig von dem Testscript:

Die aktuelle Version 3.20 Build 4 verwendet in /includes/modules/paypal/PayPal.class.php doch bereits nur noch TLS und nicht mehr SSL.

Bedeutet das nicht auch, daß wenn ein 3.20 B4 aktuell mit PayPal funktioniert er auch nach der Umstellung weiter funktionieren wird?
 

megathomas

Gut bekanntes Mitglied
30. Juni 2014
127
16
AW: PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

Wir haben auch diese E-Mail von PayPal bekommen:
Shops sagen "nicht betroffen"
Hoster sagt "Sollte alles bereits erledigt sein" und "fragen Sie doch mal bei PayPal, was die meinen"

Dann habe ich bei PayPal angerufen...
ALLE PayPal-Händlerkonten bekommen diese gleiche E-Mail. Keine einzige Händerseite wurde überprüft!
Diese Mail soll nur dazu führen, dass der Shopbetreiber sich rechtzeitig drum kümmert.

Wenn alles ok, dann ist alles ok.
 

ag-websolutions.de

Sehr aktives Mitglied
29. Dezember 2009
14.548
232
AW: PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

beim 316 er sollte auf jeden Fall das shop interne paypal - Modul geprüft werden
 

testjo

Sehr aktives Mitglied

webstef2000

Gut bekanntes Mitglied
10. Dezember 2013
306
22
Gera
AW: PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

Warning: fsockopen() [function.fsockopen]: SSL operation failed with code 1. OpenSSL Error messages: error:14077410:SSL routines:func(119):reason(1040) in /www/htdocs/.../.../paypaltest.php on line 5

Warning: fsockopen() [function.fsockopen]: Failed to enable crypto in /www/htdocs/.../.../paypaltest.php on line 5

Warning: fsockopen() [function.fsockopen]: unable to connect to ssl://www.sandbox.paypal.com:443 (Unknown error) in /www/htdocs/.../.../paypaltest.php on line 5
betroffen


Wir haben den JTL- Shop 3.19. Hosting by All-Inkl.

Die betreffende PayPal.class.php haben wir eingesehen, hier steht tatsächlich "tls" drinn.

Warum sind wir betroffen und was können wir tun?
 

Arne.E

Aktives Mitglied
7. Februar 2016
13
1
AW: PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

Moin,

ich habe die gleichen Probleme wie mobile-bags.de, allerdings mit JTL- Shop 4.0.2 und PayPal 1.0.3...

Das Testskript von JTL sagt "nicht betroffen", etliche weitere Testcodes funktionieren, wie z.B. folgender:

$ php -r '$ch = curl_init(); curl_setopt($ch, CURLOPT_URL, "https://tlstest.paypal.com/"); var_dump(curl_exec($ch));'

Dieser stammt von PayPal selbst zum verifizieren, ob das System mit den neuen Standards kompatibel ist. Quelle: https://github.com/paypal/TLS-update

Leider bekomme ich bei Zugangsdaten prüfen den Fehler: Zugangsdaten fehlerhaft. Fehlermeldung: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Bei PayPal PLUS sagt er die Zugangsdaten wären korrekt, aber unter Zahlungsarten taucht der Fehler zig mal im Log auf. (sslv3 alert handshake failure).

Strange ist, dass nach PayPal Tests mein System an sich wohl dem gewünschten Stand der Technik entspricht.

Gibt es hier eine Lösung?

Grüße
 

Arne.E

Aktives Mitglied
7. Februar 2016
13
1
AW: PayPal SSL Sicherheits Änderungen 2016 - Update Shop 3.20 Build 4 nötig?

Fehler gefunden!

Sollte in JTL mal übernommen werden!

Die PayPal PHP api mit composer geupdated, und schon war das Problem weg und alles funktioniert (auf den ersten Blick)!

/includes/plugins/jtl_paypal/version/103/paypal-sdk# php composer.phar update
Loading composer repositories with package information
Updating dependencies (including require-dev)
- Removing paypal/sdk-core-php (v3.2.1)
- Installing paypal/sdk-core-php (v3.2.4)
Downloading: 100%


- Removing paypal/merchant-sdk-php (v3.9.0)
- Installing paypal/merchant-sdk-php (v3.9.1)
Downloading: 100%


- Removing paypal/permissions-sdk-php (v3.9.0)
- Installing paypal/permissions-sdk-php (v3.9.1)
Downloading: 100%


- Removing paypal/rest-api-sdk-php (v1.6.2)
- Installing paypal/rest-api-sdk-php (v1.6.4)
Downloading: 100%


Writing lock file
Generating autoload files
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu Änderung des Auftrags nach Zahlungseingang Paypal Arbeitsabläufe in JTL-Wawi 7
Neu PayPal Checkout: Kunden verwirrt wegen Zahlungsart Name Plugins für JTL-Shop 0
Neu Erledigt - Plugin PayPal Checkout, Update auf 1.4.0, Komplettabsturz Plugins für JTL-Shop 1
Neu Paypal Gebühren neue AGB Allgemeine Fragen zu JTL-Shop 1
Neu PayPal Checkout mit Apple Pay und Google Pay Plugins für JTL-Shop 1
Neu JTL-Shop 5 Paypal Zahlung 30 Tage Zahlungsziel Allgemeine Fragen zu JTL-Shop 6
Neu Paypal Plugin erzeugt "Quirks Mode" Betrieb / Pflege von JTL-Shop 0
Neu PayPal Checkout - Bestellungen werden nicht übertragen! User helfen Usern - Fragen zu JTL-Wawi 0
Neu PayPal Checkout 1.3.0 Log Notice Mindestbestellwert Plugins für JTL-Shop 1
Neu PayPal Checkout - Beschreibung der Kaufdetails Plugins für JTL-Shop 0
PayPal - Consent-Manager Einrichtung JTL-Shop5 0
PayPal Checkout Personalisieren Einrichtung JTL-Shop5 6
Neu neues Paypal-Checkout (plugin) verhindert Bestellung - keine Zahlungsarten angezeigt (hängt) Betrieb / Pflege von JTL-Shop 8
Neu PayPal - Benachrichtungen über Zahlung -> EMail. Wo kann man den Betreff bearbeiten? User helfen Usern - Fragen zu JTL-Wawi 6
Neu Nach Migration auf JTL Shop 5 fehlerhafte PayPal Zahlungsmitteilungen Allgemeine Fragen zu JTL-Shop 0
Neu Wie importiere ich die Zahlungs-ID für meine eigene benutzerdefinierte Zahlung, wie es andere Anbieter wie Paypal und Molli Payments in Shopware 6? Onlineshop-Anbindung 0
Neu Paypal ... wo ist die normale Paypal-Auswahl? Plugins für JTL-Shop 6
Neu Trotz SSL Zertifikat wird "Webseite nicht sicher" angezeigt Allgemeine Fragen zu JTL-Shop 1

Ähnliche Themen