Hallo zusammem, hab gestern Post von PP bekommen, dass ich noch wichtige Sicherheitsupgrades durch führen muss: • TLS 1.2- und HTTP/1.1-Upgrade - bis Juni 2018 - Update erforderlich: Yes • Postback zur Verifizierung von IPN an HTTPS - bis Juni 2018 - Update erforderlich: No • Einstellung der GET-Methode für Classic NVP/SOAP APIs - bis Juni 2018 - Update erforderlich: No • Upgrade der Händler-API-Berechtigung (Zertifikat) - bis Juni 2018 • Bitte beachten Sie, dass abhängig vom Ablaufdatum Ihres Zertifikats dieses Upgrade ggf. vorher abgeschlossen ist. - Update erforderlich: No Ist das etwas was GAMBIO betrifft, oder meinen Provider? Hab keine Ahnung, was ich damit anfangen soll, vielleicht kann mir jemand weiterhelfen. Danke vorab & Gruß
Das erste betrifft deinen Hoster. Der Shop sagt PHP "bau eine sichere Verbindung auf". Die Systembibliotheken des Hosters mühen sich dann darum, und die müssen ausreichend aktuell sein. Das heisst man braucht kein Shopupdate und es wird keins dazu geben, da passt alles, Hoster werden da aber teilweise noch bei sich zentral nachlegen müssen.
OK, ich hab meinen Hoster kontaktiert und die Rückmeldung erhalten: Habe bei uns die Zertifikate geprüft. Wir haben A Rating mit RSA 2048 bits (SHA256withRSA) Haben Sie diese Info an Ihren Shopentwickler gegeben? Ich glaube das betrifft die PAYPAL API. Und was soll ich mit der Info nun anfangen? Leider gibt die PayPal-Seite https://www.paypal-notice.com/de/ auch keinerlei Aufschluß darüber, was wo wie aktualisiert werden soll.
Das Zertifikat deines Shops ist im Zusammenhang mit PayPal maximal für IPN/Webhooks relevant. Keine Angst, selbst, wenn das nicht passen würde, entgingen dir da keine Umsätze.
Was genau meinst du? IPN/Webhooks? Das ist ein Rückkanal der PayPal-Schnittstelle in deinen Shop, über den Benachrichtigungen zu den Zahlungen geliefert werden. Ist in 99% der Fälle eigentlich verzichtbar, das ist nur für den seltenen Fall interessant, dass ein Kunde PayPal-Zahlung über Banküberweisung (Vorkasse via PayPal) ausführt, weil die Zahlung dann zunächst schwebend ist und PayPal erst nach ein paar Tagen die Zahlung per Webhook-Benachrichtigung als ausgeführt meldet.
Ich zitiere nochmal Paypal: Paypal will, dass die Verbindungen ZU ihen Systemen hochverschlüsselt sind. Zu ihren bedeutet, die Verbindungen, die dein Shop dahin macht um zum Beispiel Zahlungen von Kunden einzuleiten. Dann will dein Shop reden, und ruft Paypal an. Nochmal: Shop -> Paypal. Dabei benutzt der Shop NIE das SSL Zertifikat deiner Domain oder die Verschlüsselungsmechanismen, die dein eigener Webserver mit deinem Shop anbietet, da braucht man nicht zu suchen. Diese Dinge sind dann relevant, wenn Paypal deinem Shop von sich aus Informationen senden will. Das kann zum Beispiel sein, wenn PayPal mitteilen will, dass eine Bestellung jetzt bezahlt ist. Nochmal: PayPal -> Shop. PayPal will nun den Mindeststandard für sichere Verbindungen zu Ihnen (nicht von Ihnen) erhöhen. Der Shop baut Verbindungen zu Paypal über die in php integrierten Funktionen der PHP-cURL-Interface Extension auf. Diese nutzt dazu dann die vom Hoster auf dem Server installierten cURL Bibliothek, die auf Funktionen der auf dem Server installierten OpenSSL Bibliothek zur Verschlüsselung der Verbindung zurückgreift. Was muss man mitnehmen: Auf dem Webserver müssen OpenSSL und cURL Bibliotheken ausreichend aktuell sein, so dass diese TLS1.2 Verschlüsselung abbilden können. Ausserdem muss das installierte PHP gegen diese ausreichend aktuellen Systembibliotheken kompiliert sein. Für einen normalen Shopbetreiber steht da Hoster, Hoster, Hoster. Für einen Hoster ist das dicke Zeug in diesem Absatz relevant, der muss meinen Senf lesen können. Der Vollständigkeit halber: Damit PayPal auch zurück mit dem Shop reden kann, muss der Shop auf einer mit SSL Zertifikat abgesicherten Domain liegen. Kein SSL? Keine Statusmeldung von seiten PayPal. Die Ansprüche von PayPal sind dabei nicht sonderlich hoch. Testtools wie https://www.ssllabs.com/ssltest/ können testen, wie gut die eigene Domain SSL gesichert ist, aber nicht ob man die Anforderung von PayPal erfüllt. Dafür ist die Datenflussrichtung falsch, das geht damit nicht.