Folgen Sie uns per Folgen Sie uns auf FacebookFolgen Sie uns auf Google+Folgen Sie uns auf TwitterFolgen Sie uns auf unserem Blog

Beiträge mit Tag ‘SSL 3.0’

PayPal deaktiviert ab 03. Dezember 2014 SSL 3.0 – Handlungsbedarf für zahlreiche Shopsysteme

UPDATE: PayPal hat die Frist zur Umstellung bis zum 12.01.2015 verlängert – dies gilt jedoch nicht für alle Shops. „PayPal wird am 3. Dezember 2014 die Unterstützung von bestimmten SSL 3.0-Versionen einstellen. Da zurzeit nicht alle Versionen von SSL 3.0 von der Sicherheitslücke POODLE betroffen sind, können wir für diese nicht betroffenen Versionen die Frist bis zum 12. Januar 2015 verlängern.“, teilt PayPal im eigenen Blog mit.

 

Das Bezahlsystem Paypal funktioniert wie ein Treuhändler: Der Verkäufer bietet die Ware an. Das Bezahlsystem zieht das Geld vom Käufer per Lastschrift ein und informiert den Verkäufer über den Zahlungseingang, der wiederum die Ware an den Käufer versendet. Einfach, effektiv und sicher, so zumindest das Versprechen, wenn da nicht die Sicherheitslücke „Poodle“ im SSL-3-Protokoll vom Oktober 2014 wäre, wonach alle sensiblen Daten und Kennwörter, die über die eigentlich gesicherte https-Verbindung gesendet werden, angreifbar sind. Damit das Bezahlsystem von Händlern weiterhin als Zahlungsmethode guten Gewissens angeboten werden kann, muss die jeweilige Shop Software und die dazugehörige Integration auf ihre Funktionalität überprüft werden. Auf jeden Fall betroffen sind Shopsysteme wie OXID, PrestaShop und xt:Commerce.

PayPal schaltet ab 03. Dezember 2014 SSL 3.0 ab

Nach dem Bekanntwerden der Sicherheitslücke im SSL-3-Protokoll, welches in zahlreichen Shop-Systemen und den dazugehörigen Modulen für sichere Verschlüsselung sensibler Daten verwendet wird, will PayPal das Sicherheitsprotokoll SSL 3.0 ab dem 03. Dezember 2014 deaktivieren. Sobald dies geschieht, können Zahlungen mit der jeweiligen Shop Software nicht mehr abgewickelt werden.

Aus diesem Grund sollten alle Händler dringend ihre Shop Software sowie die dazugehörige Integration prüfen und gegebenenfalls aktualisieren, bevor sie zum Weihnachtsgeschäft ohne PayPal als zuverlässigen Zahlungspartner dastehen.

Ein Update der Shop Software und der dazugehörigen Module unabdingbar

Zum 03. Dezember 2014 schaltet das Bezahlsystem das SSL-3-Protokoll ab. Anbieter von Shop Software wie OXID, xt:Commerce oder PrestaShop haben bereits reagiert und neue Modulversionen herausgebracht:

OXID: Update des eFire Extension PayPal Standalone-Moduls auf die Version 3.2.x.
PrestaShop: Ein Update von PayPal Modification SSL V3 to TLS (Version 3.8.0) steht seit dem 18. November auf der Anbieterseite zum Download bereit.
xt:Commerce: Handlungsbedarf besteht für Shop Software ab Version 4.0.16 und höher. Händler können hier das aktualisierte Plugin für xt:Commerce 4 installieren. Für xt:Commerce ab Version 4.0.15 und älter rät der Anbieter das gesamte Shopsystem auf die neueste Version upzudaten, um das aktualisierte Plugin und das Bezahlsystem im Rahmen von xt:Commerce Payments zu nutzen. Auch die zahlreichen xt:Commerce Derivate sollten in jedem Fall überprüft werden.
Magento: Nicht unmittelbar betroffen, PayPal empfiehlt dennoch eine Überprüfung.
Shopware scheint nach dem aktuellen Wissensstand von den Problemen nicht betroffen zu sein. PayPal sollte hier auch ohne Anpassungen problemlos nutzbar sein.

Das Bezahlsystem PayPal rät zu einem Sanbox-Test

Das Bezahlsystem rät Händlern – unabhängig davon, ob ihre Shop Software von „Poodle“ betroffen ist oder nicht – die bestehende Integration in der Sandbox zu testen. Hier ist das SSL-3-Protokoll bereits deaktiviert. Verläuft der Testlauf erfolgreich, hat der Händler ab dem 03. Dezember 2014 nichts zu befürchten.

 

Update zu Gambio:

Gambio teilte heute mit, dass PayPal Module der Versionen Gambio GX v1.0.15 bis einschließlich v2.0.17.0 von der Problematik betroffen sind. Neue PayPal Module  wie paypalng ab der Gambio Shopversion v2.1 sind nicht betroffen. Auch ältere Shopversionen, welche das neue PayPal Modul paypalng nutzen, sind nicht betroffen.

Weiter lesen Keine Kommentare