Chaos bei PayPal, SSL 3.0 zeitweise nicht mehr unterstützt

Begonnen von admin, November 05, 2014, 22:13:20

« vorheriges - nächstes »

0 Mitglieder und 1 Gast betrachten dieses Thema.

admin

Am heutigen Tag hatten viele Shopbetreiber Schwierigkeiten mit PayPal. Zeitweise wurde offenbar das Protokoll SSL 3.0 nicht mehr unterstützt.
Laut Aussage von mehreren Shopbetreibern hätte es dazu keine Ankündigung oder Vorwarnung gegeben.
Tatsächlich führte es dazu, dass PayPal Bestellungen in viele Shops nicht mehr registriert werden konnten.
Die Umstellung von SSL 3.0 zu TLS ist oft mit erheblichen Aufwand verbunden, die im schlimmsten Fall eine Neueinrichtung des kompletten
Servers erforderlich macht. Derzeit wird SSL 3.0 wieder unterstützt. Aber die Informationspolitik von Paypal scheint verbesserungswürdig zu sein.


MD

Auch wir hatten am 5.11. Probleme mit Paypal Zahlungen. Dies äußerte sich in der Form, dass der Shop die Daten an Paypal übergeben hat,
sich der Kunde auch bei Paypal einloggen und die Zahlung auslösen konnte. Allerdings kam keine Rückmeldung mehr von Paypal an den Shop,
so dass keine automatischen Mails rausginden und der Auftrag auch nicht nach Daten einlesen im WC angezeigt wurde.

Wir hatten an diesem Tag zum Glück nicht so viele Bestellungen per Paypal, so dass wir die Kunden einzeln informieren konnten.
Die Bestellten Artikel waren ja über den Warenkorb im Cart Verzeichnis nachvollziehbar.

Nur zum Verständnis:
Da Paypal ja nun am 3.12. SSL 3.0 komplett abschalten wird und wir keinen neuen Ausfall haben möchten:
Die Geschichte ist unabhängig von Shoppilot, d.h. es kommt nur auf das installierte SSL Zertifikat bzw. den SSL Server an?

Ich frage deshalb, weil unter http://www.shopanbieter.de/news/archives/8523-paypal-sicherheitsluecke-im-weihnachtsgeschaeft-geht-vielleicht-nichts-mehr.html
berichtet wird das auch andere Shopsysteme wie z.B. Oxid, Prestashop oder XT-Commerce betroffen sein sollen.

Nach meinem Verständnis hat jedoch die Shopsoftware doch nichts mit dem SSL Zertifikat oder dem SSL Server zu tun?

Gruß,
Metropolis Drachen

admin

Hallo,
das SSL für den Webserver hat damit nichts zu tun. Denn es geht um die Gegenrichtung.
ShopPilot Überträgt die Bestätigung, dass von PayPal Daten einer Transaktion empfangen wurde zurück.
Wenn hierbei ein HTTPS Fehler auftritt ist die Transaktion nicht abgeschlossen und die Bestellung wird
nicht gebucht. Die Komponente für die sichere Verbindung nennt sich OpenSSL und wir auf Linux Servern
für SSL benutzt. Dieses OpenSSL muß die Fähigkeit haben automatisch von SSL 3.0 auf TLS 1.x  hochzuschalten.
Dann hat man keine Probleme. Ab welcher Version von OpenSSL das so ist kann ich allerdings nicht sagen.

Das Problem am 5.11. hatte wohl nicht nur mit der SSL Umschaltung zu tun.

Um es nochmal zu sagen. Einfach mal mit der Sandbox testen. Die soll schon auf TLS umgestellt sein.
In der project.ini gibt es bei Paypal einen Schalter für die Sandbox. Falls man noch keinen Sandbox-Account hat,
kann man Ihn unter https://developer.paypal.com/ anlegen. Man muss sich dazu zuerst anmelden. Und legt dann einen
Käufer Account und einen Verkäuferaccount an. Den Verkäuferaccount evtl. noch in der Project.ini eintragen, falls er abweicht.



AmritWiley