Update: Lösung Magento und Paypal SSL 3.0 nach 03.12.2014 nicht möglich

Seit heute ist bekannt, dass Paypal SSL 3.0 aufgrund einer Verwundbarkeit von SSL deaktivieren wird. SSL 3.0 wird zum 03.12.2014 deaktiviert.  Hier eine Zusammenfassung von Quellen sowie eigenen Erfahrungen.

Wenn Ihr Magento Shop keine Paypal Zahlungen mehr verarbeitet nach dem 3te Dezember 2014 haben Sie dieses Problem. Die Ursache ist, dass Ihre Paypal Integration noch SSL 3.0 benötigt, was Paypal deaktiert hat.

Hier die Infos von PayPal

“So far, we’ve determined that we must disable SSL 3.0 support as soon as we reasonably can. Unfortunately, this necessary step may cause compatibility problems for a few of our customers resulting in the inability to pay with PayPal on some merchant sites or other processing issues that we are still identifying. “

(https://www.paypal-community.com/t5/PayPal-Forward/PayPal-Response-to-SSL-3-0-Vulnerability-aka-POODLE/ba-p/891829)

 

Laut t3n.de sind folgende Shops betroffen:

– Oxid

– Prestashop

– Xt:Commerce und Forks

– Shopware ist wohl nicht betroffen

 

Magento is auch betroffen

Weiter ist auch Magento betroffen(!) Dort ist jedoch noch unklar welche Versionen betroffen sind. Wahrscheinlich hängt es jedoch nur mit der Server Konfiguration zutun. Bedeutet ob Ihr Webserver SSL 3.0 oder SSL 2.0 verwendet.

 

Weiter gibt es die Aussage, dass man ein PHP CURL script einsetzen soll. Dies ist aber noch fraglich und haben wir noch nicht getestet, ob dies wirklich notwendig ist. Mehr Infos dazu hier. http://magento.stackexchange.com/a/43684/9331

 

Welche SSL Version verwenden ich?

poodle ssl scanHier noch der Hinweis auf das Tool mit welchem man testen kann, ob SSL 2.0 oder nur SSL 3.0 auf dem Server läuft.

 

Das Tool ist hier: https://www.poodlescan.com/ Dort einfach Domain eintragen und Ergebnisse checken. Falls SSL 3.0 verwendet wird, sollte der Webserver dringend umgestellt werden.

 

 Wie stellt man den Webserver um?

Hier die Infos von unserer Technik zur Umstellung des Webservers

Das Prinzip ist, dass man dem Webserver (Nginx bzw. Apache) einfach verbietet SSL 2.0 bzw. SSL 3.0 zu verwenden. In der Serverkonfiguration verbietet man SSLv2 und SSLv3 zu nutzen, sodass ausschließlich TLSv1, v1.1 oder v1.2 verwendet wird.

Konkret sehen die zwei Zeilen so aus:

Apache: “SSLProtocol ALL -SSLv2 -SSLv3”
nginx: “ssl_protocols TLSv1 TLSv1.1 TLSv1.2;”

 

Wo das jeweils ist, kommt auf die Struktur der Konfigdateien an. Bei einer Standardinstallation wäre das zB:

Apache: /etc/apache2/httpd.conf
nginx: /etc/nginx/nginx.conf

Update [17.11.2014]

Hier noch einige Links mit weiterführenden Informationen zum Thema SSL 3.0 und Poodle Attack
http://www.thomas-krenn.com/de/wiki/SSL_3.0_POODLE_Attack
https://www.digicert.com/ssl-support/apache-disabling-ssl-v3.htm

 

Update [19.11.2014]

Nun erscheint auch direkt in Magento die hier vorgestellte Lösung. Man muss einfach nur SSL 3.0 deaktivieren.

SSL deaktivieren Magento
SSL deaktivieren Magento

Hier die genauere Nachricht im Message Bereich

Important: PayPal Users Must Discontinue Using SSL 3.0 By December 3, 2014
To address a vulnerability with the SSL 3.0 security protocol, PayPal and other payment gateways will be disabling SSL 3.0 support. Merchants must upgrade to Transport Layer Service (TLS) by December 3, 2014 to avoid PayPal payment operation failures. Learn more about what you need to do at https://devblog.paypal.com/poodle-ssl-3-0-vulnerability/

 

Für weitere Fragen stehe ich Ihnen gerne zur Verfügung

 

mehr Informationen zu Magento Beratung von Konvis

 

 

 

 

3 Antworten auf „Update: Lösung Magento und Paypal SSL 3.0 nach 03.12.2014 nicht möglich“

  1. Hallo Martin,
    ich muss hier mal etwas klarstellen, da du die Problematik offensichtlich völlig falsch verstehst. PayPal stellt hier nur klar, dass es SSLv3 abschaltet, eben den Schritt tut, der im letzten Abschnitt von deiner Technik angeraten wurde, auf seinen eigenen Servern umsetzt. Das hat aber nichts mit den Shops an sich zu tun. Wenn sich der Shop bspw. für einen Checkout mit dem API-Server von PayPal verbindet, dann tut er das via SSL oder TLS. Der Client selbst im engeren Sinne ist nicht der Shop, sondern das PHP welches den Shop ausführt. Sofern der Shop also kein festes Protokoll wählt, und die Bibliotheken für SSL und TLS die PHP verwendet aktuell sind, sollte der Client automatisch und ohne Änderung am Quelltext auf ein vom PayPal-Server unterstütztes Protokoll wechseln.
    Damit wird klar, dass der von der Technik vorgeschlagene Tipp, das Problem nicht lösen kann, so es überhaupt eins gibt. Dies schaltet lediglich bei SSL-Verbindungen zur eigenen Domain SSLv2 und v3 ab. Und selbst diese Lösung hat auch nichts mit den Shopsystemen zu tun. Es ist ein immanentes Problem von SSL, welches schon seit geraumer Zeit von TLS abgelöst ist, und nur noch selten verwendet wird. PayPal hat lediglich Angst vor den ganz alten Clientblibliotheken die kein TLS können.
    Ihr könnt euch also beruhigen 😀

    Grüße

    1. Hallo Albert,

      vielen Dank für deine Rückmeldung! Schön, dass es auch andere Personen gibt, die sich mit dem Thema beschäftigen. Laut dem Post von t3n.de ist es bei anderen Shopsystemen nötig updates durchzuführen. Daher die Sorge, was nun bei Mangento nötig ist.

      Lasse mich da gerne korrigieren, falls ich da was falsch verstanden habe. Danke für die Info und gebe ich an die Technik weiter. Leider gibt es aktuell recht wenig Infos überhaupt und im deutschsprachigen Raum eigentlich keine.

      Paypal weißt in der Meldung auf die Sandbox hin zum Testen, ob die aktuelle Integration läuft. Dieses werden wir eh noch durchtesten und dann sollte man sicher wissen, ob alles läuft oder noch etwas “Panik” angesagt ist. Genug Zeit für eine Lösung gibt es ja noch.

      Grüße und Danke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.