Sellerforum.de - Seit 2007 das Portal für eCommerce und Handel

Hallo

Habe vor 2 Wochen eine Mail bekommen mit dem oben genannten Betreff.
Ich ging da pauschal von einer Spam- oder Pishing Mail aus.

"Laut unseren Unterlagen müssen Sie noch einige wichtige Sicherheitsupgrades für Ihre Systeme durchführen. Wird neben einer Sicherheitsänderung "Yes" angezeigt, müssen Sie Ihre Integration bis zum angegebenen Datum aktualisieren, um die neuen Sicherheitsmaßnahmen zu implementieren:

• TLS 1.2- und HTTP/1.1-Upgrade - bis Juni 2018
- Update erforderlich: Yes

• Postback zur Verifizierung von IPN an HTTPS - bis Juni 2018
- Update erforderlich: No

• Einstellung der GET-Methode für Classic NVP/SOAP APIs - bis Juni 2018
- Update erforderlich: No

• Upgrade der Händler-API-Berechtigung (Zertifikat) - bis Juni 2018
• Bitte beachten Sie, dass abhängig vom Ablaufdatum Ihres Zertifikats dieses Upgrade ggf. vorher abgeschlossen ist.
- Update erforderlich: No"

Es werden Test's gefahren usw. usw. usw.

Nun ist es aber so, das seit ca. einer Woche die PayPal app bei mir nicht mehr funktioniert. Ich bekomme zwar die Push Benachrichtigung, kann mich aber nicht einloggen.
Desweiteren hatte ich diese Woche 5 PayPal Zahlungen welche nicht erfolgreich waren.
Eine Kundin rief an und erklärte mir, dass eine Weiterleitung zu PP nicht möglich sei.

Nun stellt sich mir die Frage, ob es doch ein Update gibt.
Auf PayPal Direkt finde ich nichts.

Habt Ihr die Mail auch bekommen?

Mfg Bene

Die Mail kam heute morgen. Bisher funzt Paypal hier einwandfrei.

Hm, die können doch nicht schreiben bis Juni und das dann gleich im April durchziehen

Bei uns funzt auch noch alles und Email haben wir nicht erhalten. Wahrscheinlich, da wir bereits ein aktuelles SSL Zertifikat besitzen.

Die E-mail habe ich auch vor 2 Wochen bekommen und mich gefragt, ob die echt sei. Unternommen habe ich nichts, es funktioniert alles bisher einwandfrei.

Die Mail haben wir auch bekommen.

• TLS 1.2- und HTTP/1.1-Upgrade - bis Juni 2018
- Update erforderlich: Yes

Bezieht sich m.E. aber auf die Art, wie der Shop/Server sich mit PayPal zur IPN-Verifizierung verbindet. Wir benutzen dazu curl in einer Version, die TLS1.2 nicht unterstützt. Daher müssen wir das umbauen. Dieser Fehler hat nichts mit dem eigenen SSL-Zertifikat zu tun.

Die Mail haben wir auch bekommen. Sowohl Shopanbieter als auch Provider sagen, alles kompatibel.
Warum Paypal trotzdem meint ein Update sei erforderlich !?

Gestern hatte ich einen Brief von Paypal im Briefkasten mit der selben Warnung wie Ihr sie per Email erhalten habt.


Zitat:

"Unsere Aufzeichnungen zeigen, dass Ihre PayPal Integration ein älteres Verschlüsselungsprotokoll verwendet. Ergreifen Sie umgehend die folgenden Maßnahmen und aktualisieren Sie Ihre PayPal-Integration(en) auf das kryptographische Protokoll TLS 1.2 bis zum 30.Juni 2018..."

Ich habe allerdings schon seit 2016 auf https / TLS 1.2 umgestellt (SSLABS zeigt das auch an). Ich verwende Lets Encrypt. Wenn ich z.B. mittels PHP auf deren Test-Endpoint https://tlstest.paypal.com vom Server aus anpinge, bekomme ich auch das OK "PayPal_Connection_OK". Und wenn ich eine Zahlung per Sandbox durchführe, kommt auch kein Fehler. Es heißt nämlich, dass die Sandbox nur noch mit TLS 1.2 laufen soll und wenn die funktioniert, muss doch eigentlich alles in Ordnung sein.

Hat jemand noch eine Idee woran es liegen könnte? Bei der Paypal-Hotline sind nur irgendwelche Hotliner, ohne technische Ahnung.

Grüße
Frank

Den Brief haben wir auch bekommen. Am 30. Juni ist der Stichtag. Alle sagen es passt (Hoster, Shopanbieter), auch das Script von Paypal. Nur Paypal schreibt uns das wir ein altes Verschlüsselungsprotokoll verwenden :´(

Ja, ich dachte auch erst: "Jetzt kommen die Phishing Mails schon per Post.":

"Guten Tag Mario Mustermann,

Wir haben seit zwei Jahren versucht sie zu erreichen, um Sie über eine dringende Sicherheitsanforderung zu informieren."

Die Post hab ich gestern auch bekommen.

Keine Ahnung was das nun bedeutet.
Mein Letzter Stichtag war 31.Mai.
Jetzt 30.Juni.

Wenn es auf 30 Juli verlängert wird, sage ich auch nix. ^^

Auch bei uns soll alles passen.

Mfg B.

webstar hat geschrieben:Den Brief haben wir auch bekommen. Am 30. Juni ist der Stichtag. Alle sagen es passt (Hoster, Shopanbieter), auch das Script von Paypal. Nur Paypal schreibt uns das wir ein altes Verschlüsselungsprotokoll verwenden :´(

Ich habe grade eine mail von meinem WaWi anbieter bekommen wegen dringender Aktualisierung, wahrscheinlich bezieht sich die Nutzung nicht auf den Shop sondern auf die Api die die Kontoauszüge in die Wawi importiert.

wahrscheinlich bezieht sich die Nutzung nicht auf den Shop sondern auf die Api die die Kontoauszüge in die Wawi importiert.

Hab inzwischen rausgefunden, dass das bei mir auch der Fall ist. Die Zahlungsabwicklung im Shop ist nicht betroffen, aber auf dem lokalen Server ist wohl noch ein älteres OpenSSL Modul für die Kontoauszüge in Verwendung.

Zumindest beim JTL Shop scheint es wirklich noch ein Problem zu geben. Siehe JTL Forum:
https://forum.jtl-software.de/threads/p ... ig.112013/

Danke für den Link.

Haben Gestern das Protokoll angepasst.
Mal sehen ob es das war.

Zumindest war die Dringlichkeitserinnerung bei PayPal heute Morgen beim Einloggen nicht mehr da.


Mfg B.

Mein Konto ist jetzt gesperrt (Auszahlung). Der XTCommerce Shop sagt aber, dass alles grün ist. Könnte es an der WISO Mein Büro Software liegen? Ich ziehe die Kontobestände damit bei Paypal ein.

Hier auch.

Die anpassung des Protokolls hat also nichts gebracht.
Oder die haben das noch gar nicht registiert.
Oder die wollen jetzt einfach mal ein bisschen Geld einfrieren, weil sie gerade wieder eins brauchen.

Bei mir liegt es an WISO, mehrere User haben nur noch beschränkten PP Konto Zugriff.

Mein Paypal Konto ist auch eingeschränkt. Ich nutze als Wawi JTL.
Ich habe alle Updates in Bezug JTL - Paypal gemacht.

Und bei Paypal habe ich jetzt "Ich stimme zu" eingetragen. Mal schauen was passiert

Nach der "Zustimmung" war immer noch die rote Alarmglocke am leuchten.
Dann ich habe ich mich ausgeloggt und wieder eingeloggt.

Dann kam noch eine "Sofortige Maßnahme erforderlich Meldung".
Unten rechts unter der Meldung konnte man sich weiterleiten in sein Paypalkonto.
Jetzt sieht alles wieder gut aus (auch keine Alarmglocke mehr)

Ich bin auch eben nochmal alles durch.
ebenfalls JTL

Ich hatte auf jeden Fall noch bei 2 Versandarten als Zahlungsmehthode PayPal(PayPal) aktiv.
Laut Forum ja das Problemkind.

Diese sind nun deaktiviert und umgestellt auf PayPal Basic.

Das "Ich stimme zu" wollte ich jetzt noch nicht machen.
Damit stimmt man ja zu Zeitweise keine auszahlungen machen zu können.
Gott weiss wie lange die sich da Zeit nehmen.

Ich lasse da jetzt lieber mal einen Profi drüber schauen.

Mfg B.