Paypal-API: Abschaltung SSLv3 zum 03. Dezember 2014

Paypal hat kürzlich per Newsletter an alle Verkäufer darüber informiert, dass an deren API am 03. Dezember 09:01 Uhr MEZ SSLv3-Verbindungen nicht mehr möglich sein werden.

Weitere Informationen dazu finden Sie im folgenden Beitrag der Paypal-Developer:

Für unsere Hosting-Kunden bedeutet die Lücke primär keine Änderung.

Die API wird normalerweise über CURL oder direkt PHP selbst angesprochen (Kunden, die nicht PHP, sondern Python oder anderes einsetzen, wissen über ihre eigenen Implementierungen am besten selbst Bescheid). Sowohl PHP selbst (via fopen()) als auch die Erweiterung „CURL“ werden von uns regelmäßig aktualisiert und sprechen in der aktuellen Version 5.4 nachweislich TLS. Das veraltete SSLv3-Protokoll wird dabei normalerweise nicht mehr verwendet.

Es muss also normalerweise nichts mehr unternommen werden.

Theoretisch denkbar wäre es, dass von Seiten des Autors der Paypal-API-Integration die SSL-Protokolle fest einprogrammiert wurden. Dies ist aber sowohl unüblich als auch vom Aufwand her mehr als der Standard, so dass dies auch fast ausgeschlossen werden kann.

Im Zweifelsfall kontaktieren Sie bitte den Autor Ihrer eCommerce-Lösung bzw. der Paypal-API-Integration. Unsere Hosting-Infrastruktur ist für die Abschaltung von SSLv3 bei Paypal vorbereitet und wird dadurch keine Beeinträchtigungen verursachen.


Drupageddon: „jede ungepatchte Installation ist wahrscheinlich gehacked“

Drupal hat heute im Bezug auf die „Drupageddon“-Lücke ein sog. Public Service Announcement verschickt.

Jahresrückblick 2014

Sehr geehrte Kunden,