Sicherheits-Update erforderlich
Am 3. Dezember wird PayPal die Unterstützung von SSL 3.0 vollständig einstellen, um die Sicherheit aller Transaktionen zu gewährleisten.
Führen Sie noch vor diesem Datum das Update durch.
Worin besteht das Sicherheitsrisiko?
POODLE ist eine Sicherheitslücke im SSL 3.0-Protokoll (Secure Sockets Layer), das zur Verschlüsselung von Internetverbindungen dient. Cyberkriminelle können aufgrund dieser Schwachstelle auf vermeintlich sichere Verbindungen zugreifen, die durch dieses weitverbreitete, 15 Jahre alte Protokoll geschützt werden.
Wie reagiert PayPal?
PayPal stellt die Unterstützung von SSL 3.0 am 3. Dezember 2014 vollständig ein. Wir sind uns bewusst, dass die Abschaltung von SSL 3.0 bei einigen Kunden Kompatibilitätsprobleme verursachen kann. Diese können dazu führen, dass auf einigen Händler-Websites keine PayPal-Zahlungen mehr möglich sind oder andere Probleme mit der Zahlungsverarbeitung auftreten. Wir haben die vorliegenden Handlungsempfehlungen zusammengestellt, damit Sie den Sachverhalt prüfen und Ihre PayPal-Integration vor dieser Schwachstelle schützen können. Aktuelle Informationen finden Sie unter anderem auf PayPal Forward und auf Twitter. Sie können sich darüber hinaus auch an unseren Kundenservice wenden. Wir danken für Ihre Geduld und Ihr Verständnis – Ihre Sicherheit ist unser wichtigstes Anliegen, und dafür arbeiten wir rund um die Uhr.
Was müssen Sie tun?
Wenn Sie Ihre Website oder die PayPal-Integration nicht selbst verwalten, empfehlen wir Ihnen dringend, mit Ihrem Dienstleistungspartner (Entwickler, Shopsystem, Payment Provider usw.) zusammenzuarbeiten und diese Handlungsempfehlungen umsetzen zu lassen. Diese erklären die grundlegenden Schritte, wie man auf das weiterhin unterstützte TLS-Protokoll umstellt. Wenn Sie oder Ihr Dienstleistungspartner Fragen haben oder Unterstützung benötigen, können Sie sich mit unserem Technischen Support unter www.paypal.com/mts in Verbindung setzen.
1. Aktuelle Integration in der PayPal-Sandbox testen
Bei einer direkten PayPal-Integration befolgen Sie bitte die nachstehend aufgeführten Schritte:
NOTE: Wir sind dabei, das SSL 3.0-Problem in Zusammenarbeit mit unseren Partnern zu beheben. Wenn Sie über einen Dienstleistungspartner integriert werden, empfehlen wir Ihnen, mit diesem in Kontakt zu treten, um sicherzustellen, dass SSL 3.0 nicht länger verwendet wird. Wenn Sie herunterladbare Module oder eine selbst gehostete Lösung verwenden, müssen Sie ggf. selbst auf die neueste Version der Software hochstufen oder diese herunterladen.
a. Verbinden Sie Ihre Testumgebung mit unserer Sandbox:
- In der PayPal-Sandbox ist SSL 3.0 bereits deaktiviert. Wenn Sie also erfolgreich einen API-Aufruf absetzen können, verwenden Sie kein SSL 3.0.
b. Falls der Aufruf fehlschlägt, überprüfen Sie das Fehlerprotokoll.
- Wenn Sie einen Fehlereintrag finden, der den nachstehenden Beispielen ähnelt, verwenden Sie SSL 3.0 und müssen Ihre sichere Verbindung auf TLS (Transport Layer Security) umstellen.
CODE
* Unknown SSL protocol error in connection to api-3t.sandbox.paypal.com:-9824
ODER
CODE
140062736746144:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337:
...
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol: SSLv3
...
2. Auf TLS umstellen
Alle PayPal-Händler müssen SSL 3.0 für Interaktionen mit PayPal deaktivieren und vor dem 3. Dezember 2014 auf TLS hochstufen. In der nachstehenden Tabelle finden Sie grundlegende Hinweise für die Umstellung auf TLS mit gängigen Programmiersprachen und Verbindungsmethoden. Ihre individuellen Einstellungen können abweichen.
NOTE: Ausführliche Anweisungen zum Upgrade der SDKs und der unten aufgeführten Programmiersprachen finden Sie unter https://ppmts.custhelp.com/app/answers/detail/a_id/1182.
| Verbindungs methode: | Maßnahme | |
|---|---|---|
| PayPal SDK | Die aktuellen Versionen oder Sprachvarianten des PayPal-SDK (Software Development Kit) verwenden SSL 3.0 nicht. Das Java-SDK und das PHP-SDK wurden kürzlich aufgrund der vorliegenden Schwachstelle aktualisiert. Daher müssen alle Händler, die diese SDKs verwenden, die neueste Version installieren. Wenn Sie nicht sicher sind, ob Sie die neueste Version von SDK verwenden, prüfen Sie gemäß Schritt 1 Ihre Integration gegen die Sandbox-Umgebung. Weitere Informationen zu unseren neuesten SDK-Versionen finden Sie unter: http://paypal.github.io/sdk/#merchant |
|
| API-Endpunkt | Stellen Sie sicher, dass Sie sich mit TLS mit den PayPal-API-Endpunkten verbinden. Bitte nutzen Sie die folgende Tabelle für die Einstellung des TLS-Protokolls in Ihrer Programmiersprache. Wenn Ihr System dies unterstützt, vermeiden Sie das feste Codieren der TLS-Version, da das Protokoll so selbst automatisch die aktuellste Version bestimmt. | |
| Sprache | Maßnahme | |
| Ruby | Stellen Sie das TLS-Protokoll unter OpenSSL::SSL::SSLContext ein. Mehr dazu siehe: http://ruby-doc.org/stdlib-1.9.3/libdoc/openssl/rdoc/OpenSSL/SSL/SSLContext.html |
|
| Python | Stellen Sie das TLS-Protokoll unter ssl.SSLContext ein. Mehr dazu siehe: https://docs.python.org/2/library/ssl.html#ssl.SSLContext |
|
| Node.js | Stellen Sie das richtige Renegotiation Limit ein. Mehr dazu unter: http://nodejs.org/api/tls.html#tls_client_initiated_renegotiation_attack_mitigation | |
| PHP | Stellen Sie in den Curl-Optionen CURLOPT_SSLVERSION auf CURL_SSLVERSION_TLSv1 ein. Mehr dazu siehe: http://curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html |
|
| Java | Stellen Sie das TLS-Protokoll unter javax.net.ssl.SSLContext ein. Mehr dazu siehe: http://docs.oracle.com/javase/7/docs/technotes/guides/security/jsse/JSSERefGuide.html |
|
| C# | Stellen Sie SecurityProtocolType auf Tls ein. Mehr dazu siehe: http://msdn.microsoft.com/en‐us/library/system.net.securityprotocoltype%28v=vs.110%29.aspx |
|
3. Neue Berechtigung anfordern (optional)
Nachdem Sie die Konfiguration des TLS-Protokolls abgeschlossen und getestet haben, können Sie für die Aufrufe der PayPal-API eine neue API-Berechtigung anfordern und herunterladen. Dieser Schritt wird dringend empfohlen, ist jedoch nicht zwingend erforderlich. Treffen Sie je nach Geschäftsmodell und Kundenstamm eine risikobasierte Entscheidung.
- Wenn Sie zur Authentifizierung ein Zertifikat nutzen, ist keine Maßnahme erforderlich, weil die Sicherheitslücke im SSL 3.0-Protokoll und nicht im Design der SSL-Zertifikate vorhanden ist.
- Wenn Sie zur Authentifizierung eine Signatur nutzen, siehe: https://developer.paypal.com/docs/api/overview/#get-credentials
- Wenn Sie zur Authentifizierung das OAuth-Protokoll nutzen, siehe: https://developer.paypal.com/docs/integration/admin/manage-apps/
Vielen Dank für Ihre Mithilfe.
Sicherheit steht bei uns an erster Stelle
Wir möchten betonen, dass die Ihnen entstehenden kurzfristigen Unannehmlichkeiten durch eine nachhaltige Wahrung der Sicherheit von Kundenkonten und -daten mehr als aufgewogen werden.
Bleiben Sie auf dem Laufenden
Aktuelle Informationen finden Sie unter anderem auf Twitter. Sie können sich darüber hinaus auch an unseren Kundenservice wenden. Wir danken für Ihre Geduld und Ihr Verständnis – Ihre Sicherheit ist unser wichtigstes Anliegen, und dafür arbeiten wir rund um die Uhr.