PayPal anstehendes Sicherheitsupgrade

[Frixi]

Hallo maennchen1-Team,

es stehen z. Zt. die Checks für das kommende Sicherheitsupgrade von PayPal an und bei mir wird immer wieder bemängelt, das bei "Upgrade auf TLS 1.2 und HTTP/1.1" noch Änderungen notwendig wären.

Ich habe daraufhin vor ca. 4 Wochen ein neues Lets-Encrypt-Zertifikat erstellen lassen und mein Provider (netcup) meinte, das damit die Kriterien erfüllt würden. Leider kam in der heutigen Mail schon wieder derselbe Hinweis. Auf der in der Mail verlinkten Webseite erhalte ich am Ende eines Zweiges die Meldung "Hinweis: Um künftige reaktive Versionsänderungen zu vermeiden, codieren Sie Ihr System am besten so, dass es immer die Verwendung der höchstmöglichen Version aushandelt."

Hat das etwas mit eurem PayPal-Modul (nicht PLUS!) zu tun? Ich stehe da aktuell vollkommen auf dem Schlauch, PayPal schickt mich zu meinem Provider, der wiederum verweist zurück auf PayPal... *seufz*

Danke für eure Hilfe im voraus.

VG, Frixi

[maennchen1.de]

Hallo!
Du kannst testen, ob alles klappt, indem du die Sandbox ausprobierst. Dort werden bereits die aktuellen Mechanismen verwendet.
Die Details stehen ja in dem von dir verlinkten Dokument.

[maennchen1.de]

Das fand ich noch recht interessant: https://github.com/paypal/TLS-update#php
Da wir aber seit 3.10 die Bibliotheken und Zertifikate von WordPress nutzen, muss der Provider nicht zwingend die Zertifikate installieren. Es genügt IMHO, ein aktuelles WordPress einzusetzen.

[Frixi]

Danke für die Antworten, leider verstehe ich teilweise wieder nur Bahnhof

Aber immerhin kann ich entnehmen, dass es nichts mit eurem Modul zu tun hat, oder?

Die neueste Final von WP setze ich ja immer ein.

[maennchen1.de]

Gemeint war: Bitte teste deine Umgebung, indem du kurzzeitig die PayPal Sandbox einschaltest und eine Bestellung durchführst. Erst wenn keine Fehler kommen, kannst du dir sicher sein, das alles klappt.

[Frixi]

Ok, das klingt machbar

Vielen Dank nochmals für die Hilfe!

[Team_SBK]

Ich möchte diese Frage gerne erweitern, denn diese Mail von Paypal betrifft scheinbar auch uns.
Verstehe ich das richtig, dass das eine Eigenschaft ist, die entweder mein Hoster oder ggf. auch Wordpress selbst haben muss, wo nichts von WPShopGermany geändert werden muss. Richtig?

Ist es notwendig, dafür ein Let's Encrypt Zertificat einzurichten (da unser Provider dies nicht unterstützt)?

[maennchen1.de]

Für die PayPayl-API benötigst du ein SSL-Zertifikat (z.B. von Thawte, Geotrust, Norton, oder einem anderen Anbieter). Es muss auf deine Domain ausgestellt sein. Das Zertifikat wird benötigt, um Daten von PayPal verschlüsselt an deinen Server zu übertragen.

Das oben beschriebene Problem bezieht sich aber auf die Kommunikation zwischen deinem Server und dem PayPal Server (genau die andere Richtung). Dein Server und/oder WordPress muss mit dem neuen Zertifikat von PayPal klar kommen. Du kannst das sehr leicht testen, indem du im Modul wpShopGermany PayPal (PLUS) die PayPal API einrichtest und dort die Sandbox auswählst.

[planlos]

Auch wenn der Thread schon etwas älter ist, das Thema passt:

Einer unserer Kunden hat einen Brief von Paypal bekommen, in dem darauf hingewiesen wird, dass "unseren Aufzeichnungen gemäß noch ein älteres Verschlüsselungsprotokoll" benutzt wird und bis zum 30. Juni auf TLS 1.2 umgestellt werden muss. Der Webserver selbst unterstützt TLS 1.2.

So wie ich das verstehe, bezieht sich das auch auf Client-Verbindungen, die der Webserver zum Server von Paypal aufnimmt (also so wie in eurer Antwort weiter oben beschrieben). Wir haben da ein aktuelles Wordpress, und das läuft auf PHP 7. WpshopGermany ist noch einer 3er (3.12.7), und es wird das mitgelieferte Paypal-Modul genutzt, unter Verwendung der Classic API (also nicht das Paypal Plus Modul). Eine Bestellung über die Sandbox funktioniert Problemlos. Ich weiß aber nicht, wo ich da nachgucken könnte, welche TLS-Version hier benutzt wird.

Meine Frage wäre meine Frage, ob das wir nun das Paypal-Plus-Modul brauchen, oder ob euch noch eine andere Fehlerursache einfällt.

Auf dem Schreiben steht nur seine Adresse, aber keine Weitere Angaben in Richtung verwendetes Paypal-Konto, oder um welche Website es sich handelt. Es wäre auch möglich, dass das ein Fehlalarm ist.

[Frixi]

Auch ich habe jetzt zweimal die Aufforderung von PayPal erhalten, dass der Server TLS 1.2 unterstützen muss, obwohl er das definitiv tut. Wäre sehr interessant, warum PayPal hier anderer Meinung ist... evtl. muss man hier auch mal den PP-Support kontaktieren.

[planlos]

Ich sprach wohlgemerkt von der anderen Richtung: Unser Server in seiner Funktion als Server unterstützt auch TLS 1.2.

Beim bemängelten Fehler handelt es sich aber um die andere Richtung: Hier stellt der Programmcode der Website in seiner Funktion als Client eine Verbindung zum Paypal-Server her, und die kann aufgrund (scheinbar) fehlender 1.2-Unterstützung des Client nur mit TLS 1.0 ausgehandelt werden.

[maennchen1.de]

Wir nutzen curl für die Kommunikation mit PayPal (in wpShopGermany 3 und 4). curl nutzt Serverbibliotheken, ist also abhängig von der Konfiguration des Servers. Grundlegend zwingen wir curl nicht, ein bestimmte Protokoll zu nutzen, sondern lassen die Einstellung auf "default". Das ist die von PHP empfohlene Einstellung: http://php.net/manual/de/function.curl-setopt.php (CURLOPT_SSLVERSION)
Damit handeln der Klient und der Server das entsprechende Protokoll aus. (siehe auch: https://security.stackexchange.com/ques ... ot-defined)

Hast du evtl. einmal einen Link zu einer phpinfo, welche wir einsehen können?
Ich befürchte, dass dein curl auf deinem Server veraltet ist, oder bestimmte Optionen nicht erlaubt.

[planlos]

Habe den temporären Link soeben per pm verschickt.

[maennchen1.de]

Sieht git aus. Wir haben ältere Versionen von cURL funktionierend im Einsatz.
Ich denke, das PayPal als Zahlungsdienstleister ein geschärftes Sicherheitsbewusstsein pflegt und deshalb auf keine Aushandlung des Zertifikates vertraut, sondern dieses fest eingestellt haben möchte. Ich denke, dass wir hier noch eine Option einbauen, welche fest auf TLS1.2 besteht. Das Problem ist nur, dass wir nicht zu 100% wissen, ob es damit gelöst ist. Hast du evtl. die Möglichkeit mit dem PayPal Support zu sprechen, um zu erfahren, auf welche Instanz sich das Problem bezieht?
Letztendlich ist es aber so, dass die Sandbox funktioniert, wenn ich deinen ersten Post richtig verstehe. Und dort ist bereits die ab 30.06. greifende Schwelle aktiviert. Also kein Grund zur Panik.

[Frixi]

Ich hatte heute mit dem PP-Support gesprochen und es wurde festgestellt, dass noch eine alte HTTP-Adresse des Shops im Konto hinterlegt war, die nette Dame meinte, daran "könnte" es gelegen haben, leider konnte Sie mir keine Möglichkeit nennen, den Testprozess manuell anzustoßen.

Wichtige Info dazu: der Stichtag für den TLS-1.2-Zwang wurde auf den 27.06. vorverlegt. PANIK!!!!111!eins!elf!