PayPal désactiver le SSL 3.0 pour le TLS

[chrisgraph]

Bonjour  voici   ce  que  je recois de Paypal ce jour

Tous les utilisateurs PayPal doivent désactiver le SSL 3.0 pour leurs interactions clients et passer au TLS avant le 3 décembre 2014

Voici  le lien en .pdf

https://ppmts-fr.custhelp.com/ci/fattach/get/439053/1415670811/redirect/1/session/L2F2LzEvdGltZS8xNDE1Nzg5NDgwL3NpZC9HVDdIWWQ3bQ==/filename/Poodle%20SSL%203%200%20Vulnerability%20-%20Merchant%20Response%20Guide%20(EU%20French).pdf

 

Faut il  faire  une mise a jour  du module  et  de l'API .

Merci

Edited November 12, 2014 by chrisgraph (see edit history)

[tuk66]

Fait intéressant, le troisième mention de PayPal et TLS aujourd'hui. Il devient Sujet.

Interestingly, the third mention of PayPal and TLS today. It is getting Topic.

 

Voir http://www.prestashop.com/forums/topic/379422-urgent-paypal-update-from-ssl-30-to-tls/?do=findComment&comment=1864320

[eric75015]

bonjour

 

j ai aussi reçu cela

 

concretement que faut il faire ?? en français si possible ?

 

Je vous remercie de votre aide

[202ecommerce]

Bonjour,

 

Nous avons ouvert un topic dédié, nous mettrons toutes les informations et la procédure ici :

http://www.prestashop.com/forums/topic/380193-paypal-modification-ssl-v3-vers-tls/

 

Pierre - Support 202 ecommerce

[eric75015]

Merci de l information

 

j espere que cela corrigera le probleme sans en créer d autres

 

a suivre

[KevinNash]

Bonsoir,

 

Que doit-on faire exactement ?

Dans votre modification proposée pour le TLS ici : http://www.prestashop.com/forums/topic/380193-paypal-modification-ssl-v3-vers-tls/?do=findComment&comment=1870423 vous dites :

 

1.2.2     Second changement

 

Remplacement de cette line :

$fp = @fsockopen(.$host, 443, $errno, $errstr, 4);

par 

$fp = @fsockopen(.$host, 443, $errno, $errstr, 4);

 

Ce ne serait pas plutôt ? :

 

1.2.2     Second changement

 

Remplacement de cette line :

 

$fp = @fsockopen('sslv3:

 

par 

$fp = @fsockopen(.$host, 443, $errno, $errstr, 4);

 

Autres questions, pourquoi dans le module 3.8.0 mettez-vous  ? :

@curl_setopt($ch, CURLOPT_SSLVERSION, defined(CURL_SSLVERSION_TLSv1) ? CURL_SSLVERSION_TLSv1 : 1);

Alors que le tuto propose :

@curl_setopt($ch, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

De même ensuite vous mettez :

$fp = @fsockopen('tls:

alors que le tuto propose :

$fp = @fsockopen(.$host,

Je dois modifier la V3.6.1, les plus récentes me provoquant des bugs empêchant le paiement.

Edited November 17, 2014 by KevinNash (see edit history)

[Zebx]

Bonsoir,

 

J'avoue, les informations officielles sont très confuses.

 

Il serait bon déjà de préciser aux utilisateurs qu'ils ont le choix, soit de faire l'upgrade vers 3.8.0, soit de faire la modification manuelle détaillée dans le post suivant.

 

Tel que c'est présenté là, c'est sans doute pas clair pour tout le monde.

 

Ensuite la modification manuelle est en effet bâclée et présente des incohérences comme le souligne KevinNash ci-dessus.

 

Il serait bon également de faire attention au langage utilisé afin d'être compréhensible sans semer de doutes :

 

à la fin de la ligne:

xxx

Remplacer cette ligne par celle-ci:

yyy

 

En français dans le texte ça veut pas dire grand chose (même si on se doute de ce qu'il y a lieu de faire).

 

 

Bref, ce serait vraiment appréciable de corriger mais également de clarifier ce sujet visiblement important.

 

Merci.

Zebx

[202ecommerce]

Bonjour

 

@Zebx et @KevinNash merci pour vos retours nous avons apporté les corrections. 

 

Cordialement, 

202 ecommerce

[carpediemja]

Bonjour,

Dans tout ce que nous pouvons lire sur le forum et également dans le mail reçu ce mation de paypal, on parle des versions 1.4 ; 1.5 ; 1.6 de prestashop.... hors nous sommes toujours en version 1.3.

Impossible de joindre le service technique de paypal. La personne avec qui j'ai pu communiquer ce matin au service client paypal m'a dit de contacter prestashop puis mon hébergeur... bref quelqu'un qui n'est pas du tout au courant de ce qu'il faut faire.

Est-ce que d'autres personnes sont en 1.3 et ont la solution à apporter.

Merci à tous

[nature-ile]

bonjour,

PS 1.4.10

Après avoir fait la mise a jour Paypal vers la version V3.8.0 comme préconisé, je rencontre le problème suivant lors d'un achat Paypal:
ERROR OCCURED:
01. <b>Paypal response:</b>
02. TIMESTAMP -> 2014-11-18T07:45:54Z
03. L_ERRORCODE0 -> 10472
04. L_SHORTMESSAGE0 -> Transaction refused because of an invalid argument.
See additional error messages for details.
05. L_LONGMESSSAGE0 -> CancelURL is invalid..
06. L_SEVERITYCODE0 -> Error

J'ai pour le moment désactivé le module Paypal. Merci de votre aide

[202ecommerce]

Bonjour @ nature-ile , 

nous vous remercions de l'interet que vous portez à notre module. 

 

Veuille faire une demande de support via forge ou sur cette adresse mail : [email protected]. 

 

Cordialement, 

202 ecommerce

[celine37]

Ok pour moi, j'ai pu faire la modification proposée. Pouvez-vous confirmer que le second changement 1.2.2 est bien de remplacer la ligne :

En tout cas, merci d'avoir proposé la modification des fichiers parce que pour ma part, il avait été tellement difficile de trouver un module PayPal fonctionnel sur PS 1.4 que j'étais prête à lâcher PayPal.
Donc là, ça fonctionne.

Edit : bon bah désolée, j'ai essayé d'ajouter les lignes de code dans ce message, mais rien ne s'affiche.

Edited November 18, 2014 by celine37 (see edit history)

[Zebx]

Bonjour 202,

 

Merci pour les modifications, c'est déjà plus clair.

 

Encore quelques remarques cependant :

 

1)

Plutôt que de dire "à la fin de la ligne:" je dirais plutôt "Rechercher la ligne:".

 

2)

La version 3.8 utilise le code :

@curl_setopt($ch, CURLOPT_SSLVERSION, defined(CURL_SSLVERSION_TLSv1) ? CURL_SSLVERSION_TLSv1 : 1);

au lieu de :

@curl_setopt($ch, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

 

Est-ce préférable ou peu importe ?

 

3)

Le modif 1.2.2 est toujours incohérente, vous demandez de remplacer une ligne (qui au passage n'existe pas) par la même ligne.

$fp = @fsockopen(.$host, 443, $errno, $errstr, 4);

 

Edit: pour le point 3, c'est peut-être l'éditeur du forum qui zappe une partie de votre code... mieux vaut sans doute passer par la balise code adéquate

 

Cordialement,

Zebx

Edited November 18, 2014 by Zebx (see edit history)

[carpediemja]

Et pour la version 1.3 ? personne ?

[Zebx]

Et pour la version 1.3 ? personne ?

A priori je dirais que ça dépend surtout de la version de votre module, pas nécessairement de Prestashop en soi.

 

 

Les version jusqu'a la 2.8.6 ne sont pas concernés par cette modification. Tous les module égales ou supérieurs à la version 2.8.7 doivent être modifiés.

[carpediemja]

Comment trouve t-on la version du module ? Dans le backoffice de prestashop j'ai PayPalAPI v1.0 . Est-ce assurément le numéro de version ?

[Zebx]

Probablement oui, donc vous ne seriez pas concerné... mais je ne connais pas assez l'historique de Prestashop et Paypal pour vous l'assurer.

 

202 vous confirmera sans doute cela quand il repassera

[carpediemja]

Merci Zebx

et merci d'avance à 202 pour la confirmation.

 

Il serait peut-être intéressant de faire apparaitre ça dans le topic qui explique comment faire les changements pour que les retardataires de mise à jour comme moi, sachent qu'ils ne sont pas concernés si c'est le cas.

[unanim]

Bonjour,

Perso nous avons encore une boutique en 1.4.6.2 qui fonctionne avec un module PayPal 2.8.5, donc théoriquement pas concerné par la mise à jour. Les autres boutiques en 1.5.x.x et 1.6 ont abandonné PayPal.

 

On ne touchera à rien avant le 3/12 et on avisera si problème.

 

J'ai la version .zip du module PayPal 2.8.5 si besoin...

[202ecommerce]

Bonjour 202,

 

Merci pour les modifications, c'est déjà plus clair.

 

Encore quelques remarques cependant :

 

1)

Plutôt que de dire "à la fin de la ligne:" je dirais plutôt "Rechercher la ligne:".

 

2)

La version 3.8 utilise le code :

@curl_setopt($ch, CURLOPT_SSLVERSION, defined(CURL_SSLVERSION_TLSv1) ? CURL_SSLVERSION_TLSv1 : 1);

au lieu de :

@curl_setopt($ch, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

 

Est-ce préférable ou peu importe ?

 

3)

Le modif 1.2.2 est toujours incohérente, vous demandez de remplacer une ligne (qui au passage n'existe pas) par la même ligne.

$fp = @fsockopen(.$host, 443, $errno, $errstr, 4);

 

Edit: pour le point 3, c'est peut-être l'éditeur du forum qui zappe une partie de votre code... mieux vaut sans doute passer par la balise code adéquate

 

Cordialement,

Zebx

 

Oui nous avions bien eu un problème avec l'éditeur,les différentes modifications non pas été prises en compte merci pour ton retours et ton oeil de lynx ;-). 

[202ecommerce]

Et pour la version 1.3 ? personne ?

 

Merci Zebx

et merci d'avance à 202 pour la confirmation.

 

Il serait peut-être intéressant de faire apparaitre ça dans le topic qui explique comment faire les changements pour que les retardataires de mise à jour comme moi, sachent qu'ils ne sont pas concernés si c'est le cas.

 

Bonjour, 

nous avons fait des tests sur les différentes version du module. 

 

Au vue de la version de PayPal que vous utilisez vous n'êtes pas concerné par les modifications du passage de SSL ver tLS.

 

Cordialement,

202 ecommerce

[202ecommerce]

Bonjour à tous, 

 

Les personnes utilisant une version supérieur ou égale a la version 2.8.7 du module PayPal Europe qui ne souhaitent pas faire la mise à jour du module nous vous conseillons de faire le changement manuellement comme indiqué dans le topic suivant (niveau 2) : http://www.prestashop.com/forums/topic/380193-paypal-modification-ssl-v3-vers-tls/

 

Si certaines personnes qui ont effectué des mises à jour fréquentes du module PayPal Europe  vous pouvez effectuer la mise à jours du module PayPal Europe sans problème, vous devez juste tenir compte de la version de PrestaShop que vous utilisez voir, le topic suivant ( niveau 1) : http://www.prestashop.com/forums/topic/380193-paypal-modification-ssl-v3-vers-tls/

 

Cordialement, 

202 ecommerce

[carpediemja]

Merci 202, y a t-il un moyen de tester avant le 3 décembre pour ne pas être complètement bloqué à 3 semaines de Noël ?

[KevinNash]

Yep, tu peux tester avec un compte Sandbox Paypal, la sandbox n'utilise que le TLS

[patate34]

Bonjour,

Je suis dans la configuration PS 1.3.2.3 avec PayPalAPI v1.0.

Voici le code présent dans le fichier paypalconnect.php, pouvez-vous me confirmer que je dois juste rajouter les lignes en rouge dans le code ci-dessous : :

@curl_setopt($ch, CURLOPT_POST, true);

@curl_setopt($ch, CURLOPT_POSTFIELDS, $body);

@curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);

@curl_setopt($ch, CURLOPT_HEADER, false);

@curl_setopt($ch, CURLOPT_TIMEOUT, 30);

@curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

@curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);

@curl_setopt($ch, CURLOPT_SSLVERSION, 1);

@curl_setopt($ch, CURLOPT_SSL_CIPHER_LIST, 'TLSv1');

@curl_setopt($ch, CURLOPT_VERBOSE, true);

...

private function _connectByFSOCK($host, $script, $body)

{

...

Merci pour votre aide.

[KevinNash]

patate34, tu es sous la version 2.8.7, comme indiqué, tu n'as à priori rien à modifier

 

Bonjour à tous, 

 

Les personnes utilisant une version supérieur ou égale a la version 2.8.7 du module PayPal Europe qui ne souhaitent pas faire la mise à jour du module nous vous conseillons de faire le changement manuellement comme indiqué dans le topic suivant (niveau 2) : http://www.prestashop.com/forums/topic/380193-paypal-modification-ssl-v3-vers-tls/

 

Si certaines personnes qui ont effectué des mises à jour fréquentes du module PayPal Europe  vous pouvez effectuer la mise à jours du module PayPal Europe sans problème, vous devez juste tenir compte de la version de PrestaShop que vous utilisez voir, le topic suivant ( niveau 1) : http://www.prestashop.com/forums/topic/380193-paypal-modification-ssl-v3-vers-tls/

 

Cordialement, 

202 ecommerce

 

Pour ma part modif effectuée sous version 3.6.1 et essai impeccable avec la sandbox Paypal qui est 100% TLS

 

Un grand merci à 202ecommerce de nous avoir écouté, aidé et de nous proposer ce module gratuitement

[patate34]

patate34, tu es sous la version 2.8.7, comme indiqué, tu n'as à priori rien à modifier

 

Merci Kevin, mais je pense que cette version fait référence au module PayPal et non au module PaypalAPI...

Du coup, j'ai un doute sur les modifications à apporter 

Mais j'espère que tu dis vrai 

[KevinNash]

Comme dis plus haut, fais un essai avec un compte Sandbox sur Paypal developper, si ça marche, tu es tout bon

[carpediemja]

Pour faire l'essai avec paypal sandbox, il suffit de cocher dans les modules mode sandbox ? Merci

[KevinNash]

mode test + mettre les api du compte virtuel sandbox dans le module

Edited November 19, 2014 by KevinNash (see edit history)

[carpediemja]

Et où trouve t-on les api du compte virtuel. N'y a t-il pas de risque de problème après le test, lorsque qu'on revient au réel ?

[KevinNash]

Non aucun risque, les 2 comptes n'ont rien à voir :

 

http://kiwik.net/blog/133-comment-tester-un-site-e-commerce-avec-paypal-sandbox

[carpediemja]

Merci beaucoup

[Karpov]

Bonsoir

 

Ne criez pas --> j'utilise la version 1.1.0.5 de Prestashop (Je vous avais demandé de ne pas crier! bon tant pis :-D  )

J'ai la 1.6.0.9 en cours de "création/config" mais je ne serais jamais prêt pour le 3 décembre, j'avais prévu de la démarrer début 2015...

 

Bref, j'ai reçu le mail de paypal, J'ai jeté un oeil dans mes modules, pour Paypal j'ai la version 1.4 du module. Je ne peux rien mettre à jour car rien n'est compatible avec ma vieille version évidemment.

 

je me pose une question quand même : Je n'utilise pas SSL sur mon site/hébergement, par conséquent, et si j'ai bien tout compris, mon module Paypal ne communique pas en SSL et donc je ne suis pas concerné par cette affaire ?

 

Merci de m'éclairer svp

Sont sympa chez Paypal, décembre est le seul mois où je travaille un peu lol...

 

Merci d'avance,

Karpov.

Edited November 19, 2014 by Karpov (see edit history)

[KevinNash]

Ce n'est pas ton site qui est en SSL mais quand il quand se connecte à Paypal au moment du paiement, ça passe toujours en https, heureusement

 

C'est à ce moment que le module demande de le faire en SSL ou en TLS.

[Karpov]

Ce n'est pas ton site qui est en SSL mais quand il quand se connecte à Paypal au moment du paiement, ça passe toujours en https, heureusement

 

C'est à ce moment que le module demande de le faire en SSL ou en TLS.

 

Ok merci.

Donc je suis chocolat ça craint :/

 

Ca me pose vraiment un problème de finir la nouvelle version à l'arrache, ça va être moche et instable.

 

Est-ce que j'ai une solution technique possible ?

[miles]

Bonjour

 

Comme Karpov je tourne encore sur une ancienne version la 1.3.6 et la migration est prévue en 2015.

En regardant mon module paypal la version est 2.4 donc théoriquement je ne suis pas concerné et je n'ai rien à faire, j'ai bien compris ou faut que j’accélère ma migration?

 

 

merci

[Karpov]

Bonjour

 

Comme Karpov je tourne encore sur une ancienne version la 1.3.6 et la migration est prévue en 2015.

En regardant mon module paypal la version est 2.4 donc théoriquement je ne suis pas concerné et je n'ai rien à faire, j'ai bien compris ou faut que j’accélère ma migration?

 

 

merci

 

Si j'ai bien compris la réponse de KevinNash, je ne vois pas pourquoi les anciens modules ne seraient pas impactés par l'exigence nouvelle de Paypal, car il se trouve que le module communique avec Paypal en SSL, et donc...

D'autant que ça m'étonnerais fort que l'utilisation de TLS soit implémenté dans les anciens modules, on a donc pas le choix.

 

Ceci dit j'aurais aimé comprendre précisément, car se taper 15 jours de travail pour démarrer une 1609 en plein Noël n'est pas la même chose qu'une simple modif de code pour passer temporairement à coté du "problème" (si possible)... 

Sans parler des autres soucis, comme par exemple (dans mon cas) la perte des comptes clients dans la base de données (et oui, v1.1.0.5 vers 1.6.0.9 c'est le grand saut lol...)

[KevinNash]

Pas forcément, les anciens modules peuvent très bien être OK avec la demande de connexion en TLS.

 

Le TLS est loin d'être une nouveauté, pour info le SSL 3.0 date de Novembre 1996, TLS 1.0 Janvier 1999 et la dernière version TLS 1.2 Août 2008. http://fr.wikipedia.org/wiki/Transport_Layer_Security#Protocole_SSL

 

Le mieux comme dit plus haut est de faire un essai sur un compte Paypal Sandbox, ils sont en 100% TLS comme le seront les comptes réels le 3 Décembre, si ça passe sur Sandbox c'est tout bon

 

Après ils auraient pu attendre le 1er Janvier Paypal quand même...

Edited November 20, 2014 by KevinNash (see edit history)

[202ecommerce]

Bonjour à tous ,

comme nous l'avons spécifié dans le topic suivant (post 2) : 

http://www.prestashop.com/forums/topic/380193-paypal-modification-ssl-v3-vers-tls/

 

Les version jusqu’à la 2.8.6  ne sont pas concernés par cette modification. ;-)

 

Cordialement, 

202 ecommerce. 

[emendy]

Bonjour à tous

moi j'ai un site sous Prestashop 1.2.5
avec PayPalAPI v1.0

Impossible de faire test Sandbox, si j'ai bien compris je ne suis pas impacté par le problème...

[202ecommerce]

Bonjour à tous

moi j'ai un site sous Prestashop 1.2.5

avec PayPalAPI v1.0

Impossible de faire test Sandbox, si j'ai bien compris je ne suis pas impacté par le problème...

Bonjour, 

non vous n'êtes pas impacté par cette modification :-). 

 

Cordialement, 

202 ecommerce

[202ecommerce]

Bonjour à tous

moi j'ai un site sous Prestashop 1.2.5

avec PayPalAPI v1.0

Impossible de faire test Sandbox, si j'ai bien compris je ne suis pas impacté par le problème...

Bonjour, 

non vous n'êtes pas impacté par cette modification :-). 

 

Cordialement, 

202 ecommerce

[Karpov]

Bonjour à tous ,

comme nous l'avons spécifié dans le topic suivant (post 2) : 

http://www.prestashop.com/forums/topic/380193-paypal-modification-ssl-v3-vers-tls/

 

Les version jusqu’à la 2.8.6  ne sont pas concernés par cette modification. ;-)

 

Cordialement, 

202 ecommerce. 

 

Merci beaucoup

[miles]

hello à tous

 

merci pour vos réponses, pour une fois que l'on a une bonne nouvelle d'être restés avec nos dinosaures de versions presta bon courage à tous et surtout bonnes ventes for christmas

bye

[carpediemja]

Merci beaucoup à tous pour vos réponses, et effectivement Miles pour une fois qu'on est content de ne pas avoir fait les mises à jour  

Bonne fin d'année et courage à tous ceux qui comme moi on quand même de pain sur la planche pour faire évoluer leur site

[eric44]

Bonjour a tous

Nous sommes nous aussi en Presta 1.3.7.0 avec Paypal 2.4

 

Nous avons recu ce matin un mail de rappel Paypal pour la mise a jour

 

Nous avons alors posé la question quant-a la version 1.3.7.0 et 2.4 par retour de mail

 

La reponse a ete :

 

Bonjour Mr xxx,

 

Oui vous devez mettre à jour notre nouveau module 3.8.0 dans votre back office Prestashop....

 

De ce faite, a lire les instructions de "202 ecommerce" il ne faut rien changer. "Ouf !"

Mais a lire Paypal...  si si

Qui devons nous suivre ?

 

merci par avance pour toutes informations

cordialement

eric

[202ecommerce]

Bonjour a tous

Nous sommes nous aussi en Presta 1.3.7.0 avec Paypal 2.4

 

Nous avons recu ce matin un mail de rappel Paypal pour la mise a jour

 

Nous avons alors posé la question quant-a la version 1.3.7.0 et 2.4 par retour de mail

 

La reponse a ete :

 

Bonjour Mr xxx,

 

Oui vous devez mettre à jour notre nouveau module 3.8.0 dans votre back office Prestashop....

 

De ce faite, a lire les instructions de "202 ecommerce" il ne faut rien changer. "Ouf !"

Mais a lire Paypal...  si si

Qui devons nous suivre ?

 

merci par avance pour toutes informations

cordialement

eric

Bonjour, 

comme nous l'avons dit dans le topic officiel nous sommes l'éditeur officiel du module PayPal Europe mandaté par PayPal.

Donc ne vous inquiétez pas nous avons effectué une batterie de test sur toutes les versions du module PayPal et nous avons conclu que les versions antérieurs ou égales à la version 2.8.6 du module PayPal ne sont pas concernés par cette modification de passage du SSL vers TLS. 

 

De plus nous avons communiqué sur ce point important car faire un Upgrade d'une version aussi ancienne et passé à une version récente peut entraîner des bugs importants donc nous nous sommes assuré quelles étaient les versions concernés par ce passage de SSL vers TSL.

 

 

Cordialement, 

202 ecommerce. 

[eric44]

Ok merci pour cette reponse rapide et efficace

Bonne fin d'année a tous

cordialement

eric

[seb776]

bonjour,

 

Pourquoi ne pas tout simplement mettre a jour le module ?

[Karpov]

bonjour,

 

Pourquoi ne pas tout simplement mettre a jour le module ?

Bonjour,

C'est fait, mais la mise à jour du module Paypal n'est compatible qu'avec la/les dernière(s) version(s) de Prestashop...

 

Certains, dont moi, ont des versions plus anciennes de PS, donc on s’interrogeait  (nous ne sommes pas concerné par le problème, comme expliqué plus haut).

Edited November 26, 2014 by Karpov (see edit history)

[seb776]

ah. ok. merci.