PayPal-Sicherheitsfahrplan

[gonzo88]

Habe jetzt mit der passenden Update-ZIP geupdatet auf 1.2 (Dateien drübergebügelt).
V. 1.2 wird jetzt angezeigt. Hoffe PP ist jetzt zufrieden und es funktioniert wieder.

[blitzfreak]

es wird immer spannender... jetzt kam vorhin ein Mail von PP mit folgendem Inhalt:

[ Für Gäste sind keine Dateianhänge sichtbar ]

kann man das irgendwie testen bzw. ein Error-Log auslesen um rauszufinden wo es im Endeffekt hakt?

[swolfram [templatix]]

Wow, uns hat es auch einen Shop deaktiviert jetzt:
Paypal Modul 1.2
Shopversion 2.0.3
TLS laut Serverinfo 1.2
PHP 7.0.27
Paypal_Connection_OK Rückmeldung vom Paypal-Server

Und dennoch ist das Konto jetzt "blockiert".
Ein weiterer Shop in der gleichen Konfiguration läuft fehlerfrei.

Rückleitungsurl war bei uns nie gesetzt, da es in der Anleitung zum Paypal-Plus-Modul auch nicht erwähnt wird. Meiner Meinung nach sind diese Einstellungen im Paypal-Account ohnehin obsolet.

Hat jetzt noch einer Ideen warum Paypal meint der Account müsse blockiert werden?

[Hetfield]

Eventuell mal unter dem Punkt Konfliktlösungen im PayPal-Account nachschauen. Eventuell muss dort eine Zustimmung erfolgen, dass das Konto bei fehlendem TLS 1.2 gesperrt werden darf. Ist bei einigen PayPal-Kunden wohl der Fall, dass diese Zustimmung abgefragt wird (warum auch immer, weiss PayPal selbst nicht). Danach wird das Konto wohl wieder sofort freigeschaltet.

MfG Hetfield 

[Duncan]

Wir haben von PP eine Mail erhalten, die eine Fehlerquelle angibt.

Könnte in der \includes\external\paypal\lib\PayPal\Core\PayPalHttpConfig.php
Zeile 30 dafür verantwortlich sein?

Code: PHP  [Auswählen]

 CURLOPT_SSL_CIPHER_LIST => 'TLSv1:TLSv1.2'

[blitzfreak]

Niemand eine Idee was man wo machen könnte? Es ist echt schon verwirrend im Shop (aber auch für den Kunden wenn er den Bestellstatus im Kundenkonto nachschaut)
Wenn man manuell umstellt wird irgendwann der Status anscheinend erneut getriggered und springt wieder fälschlicherweise auf "abgelehnt", siehe:

[ Für Gäste sind keine Dateianhänge sichtbar ]

Ich kann mir nur vorstellen, dass das mit dem Hinweis von paypal (siehe mein vorheriger Beitrag) zusammenhängt, dass es beim callback ein Problem gibt...

wie könnte man den "retrigger" unterbinden, dass zumindest nach dem manuellen Umstellen der Status nicht wieder aktualisiert wird?

[Timm]

Warum installierst du nicht einfach das neueste Paypal Plus Modul? Wenn du in 2 Wochen umsteigst, dann kannst du eh nicht mehr das ipn Modul nutzen. Das gibts in den neueren Versionen nicht mehr, weil Paypal classic in dem Paypal Plus Modul integriert ist. Insofern musst du dir dann sowieso eine Rest API einrichten und vorher Paypal Plus beantragen. Beantrage es doch jetzt und wenn es freigeschalten ist, dann steig um auf das neue Modul (dauert ja ein paar Tage). Und wenn der Shop dann upgedated ist, kannst du die Rest Api Daten weiter nutzen.

In dem neuen Modul würden diese Aktualisierungen über Webhooks funktionieren, die man aber erst aktivieren muss. IPN heißt ja instant payment notification. Da scheint das noch automatisch zu gehen und man kann es nicht deaktivieren. Kannst also nur den Fehler beheben, damit er nicht mehr den Status umschaltet.

Vielleicht hilft dir das: callback/paypal/ipn.php verursacht 500er Fehler

Gruß Timm

[gonzo88]

Aktueller Stand von mir:
Hatte ein Serviceticket bei PP gestellt und einen Rückruf erhalten.
Der Fehler (ständige Hinweise dass die neuen Sicherheitsstandards noch nicht erfüllt wären - jedoch immer nur Standardmail ohne konkreten Hinweis auf das Problem) wäre bei PP gelegen. Anscheinend lief bei denen im System etwas falsch. Man hat sich entschuldigt.

Also vllt. einmal dort anrufen.

[DieterW]

Den Grund für die angemeckerte  callback/paypal/ipn.php habe ich gefunden.

Eine Prüfung mit https://www.ssllabs.com/ ergibt, dass SNI auf meinen 2 betroffenen Shops nicht funktioniert.
https://en.wikipedia.org/wiki/Server_Name_Indication

(modified 1.06SP4, PayPal classic & express)

PayPal erzwingt für den callback SNI, also muss der Server das gleiche Zertifikat für www.dein-shop.xyz und dein-shop.xyz liefern. Bei mir kommt auf der Adresse ohne www leider ein Plesk Zertifikat und Plesk scheint kein SNI zu können (es ist nirgendwo im Menü zu finden), obwohl laut Hersteller für mein Betriebssystem CentOS 7 SNI standardmäßig aktiv ist und sich nicht abschalten lässt. 

[Duncan]

Wir haben von PP eine Mail erhalten, die eine Fehlerquelle angibt.

Könnte in der \includes\external\paypal\lib\PayPal\Core\PayPalHttpConfig.php
Zeile 30 dafür verantwortlich sein?

Code: PHP  [Auswählen]

 CURLOPT_SSL_CIPHER_LIST => 'TLSv1:TLSv1.2'

Hat sich erledigt... interner Fehler von PayPal  

Bei denen geht scheinbar auch einiges durcheinander