PayPal & SSLv3 – Was müssen Kunden tun?

PayPal & SSLv3 – Was müssen unsere Kunden tun?

Aktuell bekommen wir häufiger Anfragen zu dem Thema: Was ist zu tun, wenn PayPal die Unterstützung von SSLv3 einstellt? Da dies am 3.12.2014 der Fall sein wird, wollen wir euch heute im Blog erklären, welche Maßnahmen ihr treffen solltet.

Wichtig ist dies jetzt vor allem für Onlineshop-Betreiber, die die Zahlungsmethode via PayPal anbieten. Der Grund für die Deaktivierung ist die unter Poodle bekannt gewordene Sicherheitslücke in SSLv3. In einigen Shopsystemen wird das Protokoll mit den entsprechenden PayPal-Modulen noch verwendet, um Zahlungen abzuwickeln. Damit dies nicht mehr möglich ist (um der eben genannten Poodle Attacke zu entgehen), wird PayPal die Unterstützung beenden.

Was ist zu tun?

Wenn ihr euch zu den oben genannten Shop-Betreibern zählt, dann solltet ihr zunächst in euren Shop-Installationen die installierten PayPal Extensions/Module prüfen.
Ggf. sind diese auf die Nutzung von SSLv3 eingeschränkt. Wenn dies der Fall ist, müssen sie aktualisiert werden. Eine Anleitung für die einzelnen Shop-Systeme findet ihr hier im Artikel von t3n. Sollte euer Shop-System nicht in dem Artikel genannt werden, könnt ihr bei dem Hersteller des Systems nachfragen.

Außerdem verfügt jeder Kunde, der eine PayPal Anbindung hat, auch über eine Sandbox bei PayPal, in welcher Tests durchgeführt werden können. Diese funktioniert aktuell schon nicht mehr mit SSLv3. Sollte also eure Verbindung zur Sandbox funktionieren, müsst ihr nichts machen.

Unsere Webserver unterstützen das TLS Protokoll 1.0, womit eine Kommunikation mit den PayPal Schnittstellen problemlos möglich ist.

Kommentare

  1. Leon am

    Vielen Dank für die Info. Werd gleich mal die PayPal Extensions/Module prüfen.

    Antworten
  2. Kristina Dahl am

    Hallo Jonas!

    Wenn du bei uns eine aktuelle Php-Version (im Kundencenter gekennzeichnet mit dem Zusatz „Latest“) installiert hast, solltest du keine Probleme haben.

    Bei weiteren Fragen melde dich gerne wieder hier oder bei unserem Kundenservice!

    Viele Grüße

    Kristina

    Antworten
  3. Jonas Hess am

    Laut Paypal-Devblog verschiebt sich die Mindestanforderung auf den 30. Juni 2017
    >> https://devblog.paypal.com/upcoming-security-changes-notice/

    Wann ist Mittwald denn soweit?
    Gibt’s da schon Aussagen in Datumsform dazu?

    Antworten
  4. Sabine am

    Es kann auch sein das die Produktumstellung noch ein wenig länger dauern wird.

    Antworten
  5. Raik Alber am

    nun sind bereits wieder 3 Monate vergangen.
    Könnt ihr sagen, wie der Status der Umstellung ist. Glücklicherweise hat Paypal die Produktionsumstellung auf Mitte 2017 verschoben. Wie „jan“ aber bereits sagte, Paypal Testen geht mit Shopware nicht mehr

    Antworten
  6. jan am

    und zack geht PayPal, zumindest mit Shopware5, nicht mehr… thumbs up

    Antworten
  7. David Jardin am

    Servus,

    ich würde mich der Frage von Herrn Hess gerne anschließen: wann ist damit zu rechnen, dass ihr OpenSSL dahingehend updated dass der Betrieb mit TLS 1.2 möglich ist? Immerhin sind seit diesem Post hier knapp 4 Monate vergangen und das Problem scheint nach wie vor zu bestehen.

    Antworten
  8. Vivien Waitz am

    Hallo Herr Hess,

    vielen Dank für Ihr Feedback. Wir arbeiten bereits an der Lösung für das Problem und freuen uns, diese bald zur Verfügung zu stellen.

    Viele Grüße,

    Vivien

    Antworten
  9. Jonas Hess am

    Und was muss Mittwald noch tun? – Bitte endlich mal updaten.

    Curl-Calls Richtung Paypal sind vermutlich mangels aktueller OpenSSL-Version immer noch nicht auf TLSv1.2. Paypal wird diese Calls ab diesen Sommer (2016) voraussichtlich ablehnen.

    Problematisch ist gerade, dass die Sandbox (api.sandbox.paypal.com) von Paypal die jetzt schon ablehnt. Damit kann ich gegenwärtig auf den Managed Servern bei Mittwald keine Testumgebung mit Paypal-Zahlungen betreiben.

    Antworten

Kommentar hinzufügen