osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Mis à jour PAYPAL avant 3/12/2014, sinon Paypal ne fonctionne plus, PP cesser prise en charge du SSL 3.0 le 3 décembre 2014
FEC
posté 25 Nov 2014, 11:18
Message #1


Ceinture blanche+ OSC
Icône de groupe

Groupe : Membres
Messages : 30
Inscrit : 5-May 04
Membre no 2416



Bonjour,

Avez vous reçu message de PAYPAL pour une nouvelle faille de sécurité Internet affectant SSL 3.0 (Secure Sockets Layer), PAYPAL va cesser prise en cahrge du SSL 3.0 le 3/12/2014 si on n'a pas fait le mise à jour avant.

Savez vous comment faites pour ce mise à jour? merci en avance.
-------------------------------------------------------------
Voila info que je trouve on net:
- http://forums.oscommerce.com/topic/398286-...d-sslv3-poodle/
- http://www.commvia.com/blog/2014/10/17/142/

et message de message complete de PAYPAL:
------------------------------------------------------------------

Aperçu
Qu'est-ce que Poodle ?
Poodle est le nom d'une nouvelle faille de sécurité Internet affectant SSL 3.0 (Secure Sockets Layer), un protocole conçu pour sécuriser les connexions Internet. L'exploitation de cette vulnérabilité permet aux cybercriminels d'accéder à des connexions censées être sécurisées par l'intermédiaire de ce protocole de sécurité particulièrement exploité, mais vieux de 15 ans.

Quelles sont les mesures prises par PayPal ?
Nous allons intégralement cesser notre prise en charge du SSL 3.0 le 3 décembre 2014. Nous sommes toutefois conscients qu'une telle décision peut engendrer des problèmes de compatibilité pour certains clients, les empêchant de payer avec PayPal sur les sites de marchands, entre autres conséquences. Pour évaluer votre situation et trouver une solution à vos éventuelles difficultés, nous avons créé ce Guide des mesures applicables aux marchands. Utilisez-le pour vérifier que votre intégration n'est pas menacée par cette vulnérabilité.
Ce que vous devez faire...1. Vérifiez votre intégration actuelle dans l'environnement de test PayPal

Si vous disposez d'une intégration directe avec PayPal, procédez comme suit :

NOTE: Nous travaillons directement avec nos partenaires pour résoudre la situation. Si vous avez procédé à l'intégration PayPal via un partenaire ou un système tiers, nous vous conseillons de travailler en collaboration avec les personnes appropriées pour vérifier que le protocole SSL 3.0 n'est plus utilisé.

a. Dirigez-vous vers notre environnement de test :
https://developer.paypal.com/docs/classic/l...cle/ug_sandbox/

•Le SSL 3.0 ayant déjà été désactivé dans l'environnement de test PayPal, si vous arrivez à lancer une requête API (interface de programmation), c'est que vous ne l'utilisez pas.
b. Si votre requête n'aboutit pas, vérifiez vos journaux pour en connaître la raison.

•Si vous repérez une erreur similaire à celles indiquées ci-dessous, c'est que vous utilisez le SSL 3.0. Vous devrez alors configurer votre connexion sécurisée pour le remplacer par le TLS (Transport Layer Security).
CODE

* Erreur protocole SSL inconnu, échec de la connexion sécurisée à api-3t.sandbox.paypal.com:-9824 OU

CODE

140062736746144:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337:
...
Nouveau, (AUCUN), Chiffrage (AUCUN)
Renégociation sécurisée non prise en charge
Compression : AUCUNE
Expansion : AUCUNE
Session SSL :
Protocole : SSLv3
... 2. Passez au TLS
Tous les utilisateurs PayPal doivent désactiver le SSL 3.0 pour leurs interactions clients et passer au TLS avant le 3 décembre 2014. Le tableau suivant contient des instructions de base permettant de remplacer le SSL par le TLS grâce à l'utilisation de langages et modes de connexion courants. Notez que les paramètres exacts peuvent varier en fonction de votre installation.

Mode de connexion Action
Kit de développement PayPal Aucune version ni aucun langage actuel du kit de développement PayPal n'utilisent le SSL 3.0. Toutefois, les kits de développement PHP et Java ayant récemment été mis à jour pour faire face à la situation, tous les marchands doivent télécharger les dernières versions disponibles (ultérieures au 21 octobre 2014). Si vous ne savez pas quelle version du kit de développement vous utilisez, testez votre intégration dans notre environnement de test comme expliqué dans l'étape 1.


•Pour en savoir plus sur les différentes versions du kit de développement, rendez-vous sur
http://paypal.github.io/sdk/#merchant

Point de terminaison API Vérifiez que vous vous connectez aux points de terminaison API de PayPal via le TLS 1.0 ou 1.2 (tous les points de terminaison ne sont pas pris en charge par le TLS 1.1 pour le moment). Consultez les éléments ci-dessous pour configurer le protocole TLS pour le langage que vous utilisez.
Langage Action
Ruby Définissez le protocole TLS sur OpenSSL::SSL::SSLContext.

•Pour en savoir plus, rendez-vous sur
http://ruby-doc.org/stdlib-1.9.3/libdoc/op...SSLContext.html

Python Configurez le protocole TLS sur ssl.SSLContext.

•Pour en savoir plus, rendez-vous sur
https://docs.python.org/2/library/ssl.html#ssl.SSLContext

Node.js Utilisez la limite de renégociation correcte comme indiqué ici :

•http://nodejs.org/api/tls.html#tls_client_initiated_renegotiation_attack_mitigation

PHP Modifiez CURLOPT_SSLVERSION en CURL_SSLVERSION_TLSv1 dans vos options cURL.

•Pour en savoir plus, rendez-vous sur
http://curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html

Java Configurez le protocole TLS sur javax.net.ssl.SSLContext.

•Pour en savoir plus, rendez-vous sur
http://docs.oracle.com/javase/7/docs/techn...SERefGuide.html

C# Utilisez SecurityProtocolType Tls.

•Pour en savoir plus, rendez-vous sur
http://msdn.microsoft.com/en‑us/libr...=vs.110%29.aspx


3. Créez de nouveaux identifiants (facultatif)
Après être passé au TLS et l'avoir testé, vous pouvez créer de nouveaux identifiants API pour toutes vos requêtes API PayPal. Cette étape est fortement conseillée, mais pas obligatoire. Basez votre décision sur les risques encourus par votre entreprise et vos clients.

•Si vous utilisez un certificat d'authentification, vous n'avez rien à faire.
•Si vous utilisez une authentification par signature, rendez-vous sur
https://developer.paypal.com/docs/classic/a...apiCredentials/
•Si vous utilisez le protocole d'authentification OAuth, rendez-vous sur
https://developer.paypal.com/docs/integrati...in/manage-apps/
Go to the top of the page
 
FEC
posté 30 Nov 2014, 15:33
Message #2


Ceinture blanche+ OSC
Icône de groupe

Groupe : Membres
Messages : 30
Inscrit : 5-May 04
Membre no 2416



Re-bonjour,

Voila les infos que j'ai trouvé: http://forums.oscommerce.com/index.php?app...p;fromMainBar=1

On dit que normalement il n'y a pas de problème pour OSC : http://forums.oscommerce.com/topic/398286-...odle/?hl=poodle
As none of our bundled modules force a specific SSL version to be used, no code changes are necessary and connections will continue to work when service providers have disabled SSLv3.

Est-ce que la solution suivant est bon?

Au lieu d'utiliser sandbox de PayPal pour vérifier si votre site a besoins de modification, vous pouvez désactiver SSL3 de votre navigateur pour tester votre site, afin de voir s'il faut modifier votre site ou pas suite:

Pour IE: allez à "outils" -> "options internet" -> "Avancé" -> décroché SSL 3.0

S’il faut modifier, utiliser ce add-on : http://addons.oscommerce.com/info/9072
Il n’attache pas à SSL, mais il trouvera automatiquement une meilleure connexion possible quand il connecte à servers.


Merci en avance.
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 28th March 2024 - 10:59
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)