habt ihr auch eine E-Mail von paypal@paypal.com erhalten, einmal mit dem Betreff “Bevorstehende Sicherheitsupgrades” und eine vor Kurzem mit dem Betreff “Sicherheitsupgrades 2016 für Händler”? Die erste E-Mail hatte schon ziemlich viele fehlerhafte (wahrscheinlich Google Translate) Übersetzungen.
Auf jeden Fall enthalten die E-Mails relativ viel Text und auch viele (technische) Informationen und verlinken immer auf www.paypal-knowledge.com. Ist das Spam oder kommt das wirklich von PayPal?
Es geht dort um “Upgrade der SSL-Zertifikate auf SHA-256”, “Upgrade auf TLS 1.2 und HTTP/1.1” und “Einstellung der GET-Methode für klassische NVP/SOAP-APIs”, wo “Änderungen erforderlich” sind. Wenn dies kein Spam ist - gibt es dazu etwas in Shopware anzupassen oder beim Plugin?
die erste kam am 04. Dezember 2015, die zweite heute (01.03.2016). Das Problem ist, mir wurde Sie auch nur weitergeleitet, ich habe also die Original-E-Mail nicht.
in erster Linie geht es darum, das die Zertifikate auf dem Server aktualisiert werden. Solange ihr noch in der Sandbox Bestellungen tätigen könnt, ist alles richtig eingestellt und ihr seid up to date. Solltet ihr in der Sandbox Fehlermeldungen bezüglich eines fehlgeschlagenen Handshakes bekommen, dann müsst ihr eure Server aktualisieren.
Es geht dabei um die SSL Bibliothek auf eurem Server. Die muss aktualisiert werden, sonst gibt es Probleme mit dem Datenaustausch zwischen Shopware und Paypal.
Das Upgrade kann u. U. bei einigen Hostern nicht ganz einfach werden und sollte deshalb zeitnah angestoßen werden!
Ja, bei den oben beschriebenen Punkten geht es um die SSL-Library, das ist klar. Bei den GET-Requests geht es aber nicht um SSL, es sei denn, ich bin da komplett falsch informiert… Die PayPal-Kommunikation scheint in Shopware teilweise immer noch über GET-Requests abzulaufen?
Also aus meinem technischen Verständnis heraus würde ich sagen das es für SSL / TLS unerheblich ist ob POST, GET oder PUT da jeder dieser Requests mit oder ohne SSL abgesendet werden kann.
Was ich sicher sagen kann: auf unserem Server hatten wir bis vor kurzem kein TLS und (ich hab keinen Gegentest mehr gemacht, da wir mittlerweile live sind) die Sandbox Endpoints gingen dann nicht mehr. Live Endpoints funktionieren ohne Probleme (wobei wir dann noch ein Problem mit CGI PHP und den von PayPal gesendeten Headern hatten – gelölst per PHP Upgrade auf 5.6.18). Infos dazu hab ich aus diesem Thread: http://forum.shopware.com/discussion/34350/paypal-sandbox-fehlermeldungen
Ja, die SSL-Geschichte ist für mich auch klar. Allerdings haben wir von PayPal folgendes als Analyse bekommen:
Dementsprechend dürfte hier nur die GET-Geschichte betroffen sein. Auf dem System laufen auch viele andere PayPal-Sachen ohne Probleme und ohne Warnungen über Sicherheitsupgrades, diese haben wir jetzt bislang nur zu Shopware bekommen.
wegen der “Einstellung der GET-Methode in der API” werden wir zeitnah ein Update des Plugins bringen. Für TLS / SSL sind, wie an anderer Stelle schon mehrfach erwähnt, Server Änderungen notwendig.
PT-5392 - Bugfix: Umstellung auf POST Methode beim API Client (siehe Papyaldokumentation). Plugin Konfiguration ‘SSL-Version (CURLOPT-SSLVERSION)’ entfernt
Wir haben heute auch wieder eine Mail von Paypal bekommen in der die “GET-Methode für Classic NVP/SOAP wird eingestellt” bemängelt wird und es Handlungsbedarf unserseits besteht.
Paypal-Plugin 3.3.11
Was ist daran dran und wie matthias schreibt sollte das Problem doch mit der 3.3.10 gelöst worden sein.
wir haben diese Woche auch wieder eine Mail von Paypal bekommen, in der die “Einstellung der GET-Methode für Classic NVP/SOAP APIs” bemängelt wird. Verwendet wird das Paypal Plugin 3.4.1. Wir haben das Plugin jetzt auf 3.4.5 upgedated.
Ist das Problem damit behoben? Hat noch jemand das gleiche Problem? Wie kann man es beheben?
Wir nutzen aktuell das PayPal Plugin in der Version 3.4.11 – trotzdem erhielten wir von PayPal den Hinweis, das ein Update der Einstellung der GET-Methode für Classic NVP/SOAP API erforderlich ist. Was ist da jetzt zu tun?
Shopware 5.4.2, PayPal Plugin 3.5.0, PayPal Plus Plugin 1.4.3. Auf dem Server ist OpenSSL 1.0.2n, das sollte ja TLS beherrschen? Curl 7.38.0 läuft. Habe auch die Email erhalten, dass ein Update der Einstellung der GET-Methode erforderlich sei.
UPDATE: Ich habe eben die Sandbox getestet, dort ist alles in Ordnung beim Drücken von „Jetzt API testen“. Dann sollte es ja doch in Ordnung sein, denn die Sandbox arbeitet doch bereits nach der neuen Methode? Oder muss ich noch eine Testbestellung in der Sandbox durchführen?
Michael Telgmann
Die PayPal-Kommunikation scheint in Shopware teilweise immer noch über GET-Requests abzulaufen?
Michael Telgmann