Poodle 취약점으로 인해 PayPal로부터 2014 년 12 월 3 일에 결제 API를 사용하여 SSLV3에 대한 지원을 중단한다는 내용의 이메일을 받았습니다.
Magento 1.9.0.1 (최신)의 PayPal Payment Pro / Hosted Solution / Express 지불 통합에 직접적인 영향을 미칠지 여부를 알고 싶은 사람이 있습니까?
그렇다면 누구든지 magento에서 표준 페이팔 모듈을 수정하는 방법에 대해 알고 있습니까?
감사!
답변
내가 이해하는 것처럼 (실제로 틀린 경우 수정하십시오) 실제로 호스팅 회사 (공유 플랫폼 인 경우) 또는 VPS 또는 전용 서버 인 경우 SSLv3을 비활성화해야합니다. 아직 웹 호스트가 아닌 경우 웹 호스트 가이 작업을 수행해야하며 자신의 서버를 담당하는 경우 httpd.conf를 수정하고 다음을 추가 할 수 있다고 생각합니다.
SSLProtocol ALL -SSLv2 -SSLv3
이렇게하면 v2와 v3이 비활성화되고 TLS가 표준 폴백 연결이라고 생각합니다.
이것은 Apache 설정이므로 다른 것을 사용하는 경우 코드가 약간 변경 될 수 있지만 희망이 있으면 약간 도움이되지만 다른 사람들의 의견을 들어 주셔서 감사합니다.
답변
이 코드를 삭제하십시오.
<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
echo "not affected";
}
else {
echo "affected";
}
?>
</body>
</html>
Magento 사이트의 루트에있는 paypal-tls-test.php 파일에 있습니다. 그런 다음 http://www.yoursite.com/paypal-tls-test.php 와 같이 브라우저를 가리 킵니다 . 스크립트는 더 이상 SSLv3를 지원하지 않는 PayPal 샌드 박스에 연결하려고합니다. 연결에 성공하면 괜찮을 것입니다. 그렇지 않은 경우해야 할 일이 있습니다. 물론 이것은 실제 프로토콜이 어딘가에 Magento에 하드 코딩되어 있지 않다고 가정합니다 (스크립트는 서버의 연결 기능을 확인합니다).
답변
그것은 모두 CURL 연결에 있습니다. 확인해야 할 것은 서버 클라이언트 측 컬 라이브러리가 TLS를 지원하므로 (폴백 할 수 있음)입니다.
TLS를 강제 실행하려면 다음 정의를 사용하여 간단한 PHP CURL 스크립트를 작성하십시오.
curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);
성공하면 걱정할 것이 없습니다. 그렇지 않다면 libcurl과 openssl을 다시 컴파일해야 할 것입니다.
답변
클라이언트의 고대 Magento 1.4.1.1 설정에서 컬을 통한 핵심 페이팔 통신은 특정 프로토콜을 강제하지 않으므로 페이팔이 SSLv3에 대한 페이팔 드롭을 지원할 때 curl은 TLS를 사용해야합니다.
12 월 3 일에 확실히 알게 될 것 같습니다.
답변
다음 줄을 추가했습니다.
curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);
테스트 PHP 스크립트로. 이것은 브라우저를 통해 실행 한 결과입니다.
curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);
이거 괜찮아? 12 월 3 일 이후에 curl 7.33.0 버전 및 페이팔로 작업 할 수 있습니까? 그렇습니다!
감사합니다. JJ
답변
그래서 내 페이팔 계정 관리자가 오늘 전화하여 내 웹 사이트가 ssl 3.0 / poodle을 사용하고 있으며 12 월 3 일 마이그레이션 후 작동하지 않는다고 알려줍니다.
그들은 기본적으로 개발 샌드 박스 서버를 호출하고 수용 가능한 응답을받을 수 있다면 모든 것이 정상이라고 말하는 모든 문서를 알려줍니다.
코드 나 서버 구성에서 전혀 변경하지 않았습니다. 개발 샌드 박스 서버에서 테스트했으며 모든 것이 완벽하게 진행되었습니다. 마 젠토 ver. 1.4.1.0
12 월 3 일에 모든 것이 정상이어야한다는 의미입니까?
https://www.poodlescan.com/을 통해 실행할 때 모든 웹 사이트에서 여전히 아래 메시지가 표시됩니다.
“이 서버는 SSL v3 프로토콜을 지원합니다.” “이 서버는 SSL v2 프로토콜을 지원합니다.이 프로토콜을 실제로 비활성화해야합니다.”
도움을 주시면 감사하겠습니다.
답변
Apache의 httpd.conf를 편집하고 다음 코드를 추가하십시오.
SSLHonorCipherOrder On
SSLProtocol -All +TLSv1
VPS 또는 전용 서버가있는 경우 WHM을 통해이 작업을 수행 할 수도 있습니다.
서비스 구성-> Apache 구성-> 포함 편집기-> 사전 기본 포함으로 이동하십시오.
위의 두 줄을 추가하십시오.
그런 다음 PayPal 샌드 박스에 연결하여 SSLv3가 비활성화되었는지 테스트하거나 Randall Hertzler가 제안한 코드를 추가 할 수 있습니다.
위의 작업을 직접 수행했으며 정상적으로 작동합니다.