[GELÖST] PayPal - Mails: Bevorstehende Sicherheitsupgrades und Sicherheitsupgrades 2016 für Händler

Hallo liebe Shopware - Gemeinde,

habt ihr auch eine E-Mail von paypal@paypal.com erhalten, einmal mit dem Betreff “Bevorstehende Sicherheitsupgrades” und eine vor Kurzem mit dem Betreff “Sicherheitsupgrades 2016 für Händler”? Die erste E-Mail hatte schon ziemlich viele fehlerhafte (wahrscheinlich Google Translate) Übersetzungen.

Auf jeden Fall enthalten die E-Mails relativ viel Text und auch viele (technische) Informationen und verlinken immer auf www.paypal-knowledge.com. Ist das Spam oder kommt das wirklich von PayPal?

Es geht dort um “Upgrade der SSL-Zertifikate auf SHA-256”, “Upgrade auf TLS 1.2 und HTTP/1.1” und “Einstellung der GET-Methode für klassische NVP/SOAP-APIs”, wo “Änderungen erforderlich” sind. Wenn dies kein Spam ist - gibt es dazu etwas in Shopware anzupassen oder beim Plugin?

Ich hoffe, jemand kann mir dazu weiterhelfen.

Beste Grüße

Sebastian

@sschreier‍

wir haben selbst drei Paypal-Konten und haben bei keinem solch einen Mail erhalten, wann ist die denn gekommen?

Ist die wirklich von paypal@paypal.com, hast du dir die Mail mal im Quelltext angesehen und im Head-Bereich beschaut.

Gruß Uwe 

Edit:

Ich habe noch mal die Mails durchsucht und hatte tatsächlich so eine Mail aber schon am 11.09.2015

Hallo useg,

die erste kam am 04. Dezember 2015, die zweite heute (01.03.2016). Das Problem ist, mir wurde Sie auch nur weitergeleitet, ich habe also die Original-E-Mail nicht.

Beste Grüße

Sebastian

Hi zusammen,

in erster Linie geht es darum, das die Zertifikate auf dem Server aktualisiert werden. Solange ihr noch in der Sandbox Bestellungen tätigen könnt, ist alles richtig eingestellt und ihr seid up to date. Solltet ihr in der Sandbox Fehlermeldungen bezüglich eines fehlgeschlagenen Handshakes bekommen, dann müsst ihr eure Server aktualisieren.

Viele Grüße aus Schöppingen

cool Michael Telgmann

1 Like

Hallo :slight_smile:

Laut der Mail (die mir auch vorliegt) ist in der aktuellen Version nur die “Einstellung der GET-Methode für klassische NVP/SOAP-APIs” ein Problem. Weitere Infos dazu gibt es hier: https://www.paypal-knowledge.com/infocenter/index?page=content&widgetview=true&id=FAQ1927&viewlocale=en_US - dieser Änderungsbedarf wurde so seitens PayPal festgestellt, werden tatsächlich seitens Shopware noch GET-Requests gemacht?

Beste Grüße!

Es geht dabei um die SSL Bibliothek auf eurem Server. Die muss aktualisiert werden, sonst gibt es Probleme mit dem Datenaustausch zwischen Shopware und Paypal.

Das Upgrade kann u. U. bei einigen Hostern nicht ganz einfach werden und sollte deshalb zeitnah angestoßen werden!

Siehe dazu auch: 

http://forum.shopware.com/discussion/34350/paypal-sandbox-fehlermeldungen
https://www.paypal-knowledge.com/infocenter/index?page=content&id=FAQ1914&expand=true&locale=en_US

ps: Die Sandbox Server unterstützen jetzt schon nur noch TLS 1.2!

Hallo @fnagel‍,

Ja, bei den oben beschriebenen Punkten geht es um die SSL-Library, das ist klar. Bei den GET-Requests geht es aber nicht um SSL, es sei denn, ich bin da komplett falsch informiert… :wink: Die PayPal-Kommunikation scheint in Shopware teilweise immer noch über GET-Requests abzulaufen?

Also aus meinem technischen Verständnis heraus würde ich sagen das es für SSL / TLS unerheblich ist ob POST, GET oder PUT da jeder dieser Requests mit oder ohne SSL abgesendet werden kann. 

Was ich sicher sagen kann: auf unserem Server hatten wir bis vor kurzem kein TLS und (ich hab keinen Gegentest mehr gemacht, da wir mittlerweile live sind) die Sandbox Endpoints gingen dann nicht mehr. Live Endpoints funktionieren ohne Probleme (wobei wir dann noch ein Problem mit CGI PHP und den von PayPal gesendeten Headern hatten – gelölst per PHP Upgrade auf 5.6.18). Infos dazu hab ich aus diesem Thread: http://forum.shopware.com/discussion/34350/paypal-sandbox-fehlermeldungen

Ja, die SSL-Geschichte ist für mich auch klar. Allerdings haben wir von PayPal folgendes als Analyse bekommen: 

Dementsprechend dürfte hier nur die GET-Geschichte betroffen sein. Auf dem System laufen auch viele andere PayPal-Sachen ohne Probleme und ohne Warnungen über Sicherheitsupgrades, diese haben wir jetzt bislang nur zu Shopware bekommen.

[@Michael Telgmann](http://forum.shopware.com/profile/17553/Michael Telgmann “Michael Telgmann”)‍ vielleicht kann einer aus dem Team das beantworten?

Hallo zusammen,

wegen der “Einstellung der GET-Methode in der API” werden wir zeitnah ein Update des Plugins bringen. Für TLS / SSL sind, wie an anderer Stelle schon mehrfach erwähnt, Server Änderungen notwendig.

Viele Grüße aus Schöppingen

cool Michael Telgmann

WIr haben auch dies Sichreheitshinweise bekommen. Kann mir jemand sagen was ich da jetzt ändern muss und wo?!

Müsste das nicht mit der Version 3.3.10 behoben sein?

So steht es zumindest im Store (http://store.shopware.com/sw10004/paypal.html):

PT-5392 - Bugfix: Umstellung auf POST Methode beim API Client (siehe Papyaldokumentation). Plugin Konfiguration ‘SSL-Version (CURLOPT-SSLVERSION)’ entfernt

Wir haben heute auch wieder eine Mail von Paypal bekommen in der die “GET-Methode für Classic NVP/SOAP wird eingestellt” bemängelt wird und es Handlungsbedarf unserseits besteht.

Paypal-Plugin 3.3.11

Was ist daran dran und wie matthias schreibt sollte das Problem doch mit der 3.3.10 gelöst worden sein.

Uwe

Hallo zusammen,

wir haben diese Woche auch wieder eine Mail von Paypal bekommen, in der die “Einstellung der GET-Methode für Classic NVP/SOAP APIs” bemängelt wird. Verwendet wird das Paypal Plugin 3.4.1. Wir haben das Plugin jetzt auf 3.4.5 upgedated. 

Ist das Problem damit behoben? Hat noch jemand das gleiche Problem? Wie kann man es beheben?

Freue mich über ein Feedback!

 

 

Wie beschrieben wurde dies in der 3.3.10 von uns angepasst. In neueren Versionen ist dies kein Problem.

1 Like

Wir nutzen aktuell das PayPal Plugin in der Version 3.4.11 – trotzdem erhielten wir von PayPal den Hinweis, das ein Update der Einstellung der GET-Methode für Classic NVP/SOAP API erforderlich ist. Was ist da jetzt zu tun?

Moin Moin

Da muß ich mich leider anschließen wir haben das gleiche Problem.

Shopware 5.1.6, Paypal Plugin 3.4.12 & PPP 1.4.1

Same here

Shopware 5.4.2, PayPal Plugin 3.5.0, PayPal Plus Plugin 1.4.3. Auf dem Server ist OpenSSL 1.0.2n, das sollte ja TLS beherrschen? Curl 7.38.0 läuft. Habe auch die Email erhalten, dass ein Update der Einstellung der GET-Methode erforderlich sei.

UPDATE: Ich habe eben die Sandbox getestet, dort ist alles in Ordnung beim Drücken von „Jetzt API testen“. Dann sollte es ja doch in Ordnung sein, denn die Sandbox arbeitet doch bereits nach der neuen Methode? Oder muss ich noch eine Testbestellung in der Sandbox durchführen?

Also die Umstellung im Paypal Plugin erfolgte mit Version  3.3.10, steht da auch extra im Changelog vom Store:

PT-5392 - Bugfix: Umstellung auf POST Methode beim API Client (siehe Papyaldokumentation).