SSLルーチンで失敗するPayPal IPN確認：SSL3_READ_BYTES：sslv3アラートハンドシェイクエラー

Question

私たちの側に変更はなく、おそらくPOODLE/SSL3に関連して、PPIPNMessage :: validateへのPaypal API呼び出しは現在失敗しています。

SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

IPNのチェックアウトと受信は問題ありません（SSL3着信をサポートしたことはありません）。IPNを確認すると失敗します（失敗したにもかかわらず、Paypalは再試行しません）

同じサーバーコマンドラインからcurlを実行すると成功する

$ curl -iv https://ipnpb.Paypal.com/cgi-bin/webscr * About to connect() to ipnpb.Paypal.com port 443 (#0) * Trying 173.0.88.8... connected * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * SSLv3, TLS handshake, Client hello (1): * SSLv3, TLS handshake, Server hello (2): * SSLv3, TLS handshake, CERT (11): * SSLv3, TLS handshake, Server finished (14): * SSLv3, TLS handshake, Client key exchange (16): * SSLv3, TLS change cipher, Client hello (1): * SSLv3, TLS handshake, Finished (20): * SSLv3, TLS change cipher, Client hello (1): * SSLv3, TLS handshake, Finished (20): * SSL connection using AES256-SHA * Server certificate: * subject: 1.3.6.1.4.1.311.60.2.1.3=US; 1.3.6.1.4.1.311.60.2.1.2=Delaware; businessCategory=Private Organization; serialNumber=3014267; C=US; postalCode=95131-2021; ST=California; L=San Jose; street=2211 N 1st St; O=Paypal, Inc.; OU=Paypal Production; CN=ipnpb.paypa * start date: 2013-06-28 00:00:00 GMT * expire date: 2015-08-02 23:59:59 GMT * subjectAltName: ipnpb.Paypal.com matched * issuer: C=US; O=VeriSign, Inc.; OU=VeriSign Trust Network; OU=Terms of use at https://www.verisign.com/rpa (c)06; CN=VeriSign Class 3 Extended Validation SSL CA * SSL certificate verify ok. > GET /cgi-bin/webscr HTTP/1.1 > User-Agent: curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3 > Host: ipnpb.Paypal.com > Accept: */*

Ssllabs.comは、このエンドポイントでSSL3をまだサポートしている4つのIPのうち1つを示していることに注意しました。

ianhk · Accepted Answer

これは、 Error 0x1408F10B： "SSL3_GET_RECORD：wrong version number"とPaypal SDK と同じ問題です。

使用しているPaypal APIのバージョンは、ハードコードCURLOPT_SSLVERSIONから3です。

私たちの修正は、Paypalが呼び出す前にこれを挿入することです。

PPHttpConfig::$DEFAULT_CURL_OPTS[CURLOPT_SSLVERSION] = 4;

Pedro Lobito · Answer

私は同じ問題を抱えていました... ipnlistener.phpの次の行を変更するだけです

から：

curl_setopt($ch, CURLOPT_SSLVERSION, 3);

に：

curl_setopt($ch, CURLOPT_SSLVERSION, 4);

ipnlistener.php

<?php /** * Paypal IPN Listener * * A class to listen for and handle Instant Payment Notifications (IPN) from * the Paypal server. * * https://github.com/Quixotix/PHP-Paypal-IPN * * @package PHP-Paypal-IPN * @author Micah Carrick * @copyright (c) 2012 - Micah Carrick * @version 2.1.0 */ class IpnListener { /** * If true, the recommended cURL PHP library is used to send the post back * to Paypal. If flase then fsockopen() is used. Default true. * * @var boolean */ public $use_curl = true; /** * If true, explicitly sets cURL to use SSL version 3. Use this if cURL * is compiled with GnuTLS SSL. * * @var boolean */ public $force_ssl_v3 = true; /** * If true, cURL will use the CURLOPT_FOLLOWLOCATION to follow any * "Location: ..." headers in the response. * * @var boolean */ public $follow_location = false; /** * If true, an SSL secure connection (port 443) is used for the post back * as recommended by Paypal. If false, a standard HTTP (port 80) connection * is used. Default true. * * @var boolean */ public $use_ssl = true; /** * If true, the Paypal sandbox URI www.sandbox.Paypal.com is used for the * post back. If false, the live URI www.Paypal.com is used. Default false. * * @var boolean */ public $use_sandbox = false; /** * The amount of time, in seconds, to wait for the Paypal server to respond * before timing out. Default 30 seconds. * * @var int */ public $timeout = 30; private $post_data = array(); private $post_uri = ''; private $response_status = ''; private $response = ''; const Paypal_Host = 'www.Paypal.com'; const SANDBOX_Host = 'www.sandbox.Paypal.com'; /** * Post Back Using cURL * * Sends the post back to Paypal using the cURL library. Called by * the processIpn() method if the use_curl property is true. Throws an * exception if the post fails. Populates the response, response_status, * and post_uri properties on success. * * @param string The post data as a URL encoded string */ protected function curlPost($encoded_data) { if ($this->use_ssl) { $uri = 'https://'.$this->getPaypalHost().'/cgi-bin/webscr'; $this->post_uri = $uri; } else { $uri = 'http://'.$this->getPaypalHost().'/cgi-bin/webscr'; $this->post_uri = $uri; } $ch = curl_init(); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2); curl_setopt($ch, CURLOPT_CAINFO, dirname(__FILE__)."/cert/api_cert_chain.crt"); curl_setopt($ch, CURLOPT_URL, $uri); curl_setopt($ch, CURLOPT_POST, true); curl_setopt($ch, CURLOPT_POSTFIELDS, $encoded_data); curl_setopt($ch, CURLOPT_FOLLOWLOCATION, $this->follow_location); curl_setopt($ch, CURLOPT_TIMEOUT, $this->timeout); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_HEADER, true); curl_setopt($ch, CURLOPT_SSLVERSION, 4); if ($this->force_ssl_v3) { curl_setopt($ch, CURLOPT_SSLVERSION, 4); //Modified from 3 to 4 } $this->response = curl_exec($ch); $this->response_status = strval(curl_getinfo($ch, CURLINFO_HTTP_CODE)); if ($this->response === false || $this->response_status == '0') { $errno = curl_errno($ch); $errstr = curl_error($ch); throw new Exception("cURL error: [$errno] $errstr"); } } /** * Post Back Using fsockopen() * * Sends the post back to Paypal using the fsockopen() function. Called by * the processIpn() method if the use_curl property is false. Throws an * exception if the post fails. Populates the response, response_status, * and post_uri properties on success. * * @param string The post data as a URL encoded string */ protected function fsockPost($encoded_data) { if ($this->use_ssl) { $uri = 'ssl://'.$this->getPaypalHost(); $port = '443'; $this->post_uri = $uri.'/cgi-bin/webscr'; } else { $uri = $this->getPaypalHost(); // no "http://" in call to fsockopen() $port = '80'; $this->post_uri = 'http://'.$uri.'/cgi-bin/webscr'; } $fp = fsockopen($uri, $port, $errno, $errstr, $this->timeout); if (!$fp) { // fsockopen error throw new Exception("fsockopen error: [$errno] $errstr"); } $header = "POST /cgi-bin/webscr HTTP/1.1
"; $header .= "Host: ".$this->getPaypalHost()."
"; $header .= "Content-Type: application/x-www-form-urlencoded
"; $header .= "Content-Length: ".strlen($encoded_data)."
"; $header .= "Connection: Close

"; fputs($fp, $header.$encoded_data."

"); while(!feof($fp)) { if (empty($this->response)) { // extract HTTP status from first line $this->response .= $status = fgets($fp, 1024); $this->response_status = trim(substr($status, 9, 4)); } else { $this->response .= fgets($fp, 1024); } } fclose($fp); } private function getPaypalHost() { if ($this->use_sandbox) return self::SANDBOX_Host; else return self::Paypal_Host; } /** * Get POST URI * * Returns the URI that was used to send the post back to Paypal. This can * be useful for troubleshooting connection problems. The default URI * would be "ssl://www.sandbox.Paypal.com:443/cgi-bin/webscr" * * @return string */ public function getPostUri() { return $this->post_uri; } /** * Get Response * * Returns the entire response from Paypal as a string including all the * HTTP headers. * * @return string */ public function getResponse() { return $this->response; } /** * Get Response Status * * Returns the HTTP response status code from Paypal. This should be "200" * if the post back was successful. * * @return string */ public function getResponseStatus() { return $this->response_status; } /** * Get Text Report * * Returns a report of the IPN transaction in plain text format. This is * useful in emails to order processors and system administrators. Override * this method in your own class to customize the report. * * @return string */ public function getTextReport() { $r = ''; // date and POST url for ($i=0; $i<80; $i++) { $r .= '-'; } $r .= "
[".date('m/d/Y g:i A').'] - '.$this->getPostUri(); if ($this->use_curl) $r .= " (curl)
"; else $r .= " (fsockopen)
"; // HTTP Response for ($i=0; $i<80; $i++) { $r .= '-'; } $r .= "
{$this->getResponse()}
"; // POST vars for ($i=0; $i<80; $i++) { $r .= '-'; } $r .= "
"; foreach ($this->post_data as $key => $value) { $r .= str_pad($key, 25)."$value
"; } $r .= "

"; return $r; } /** * Process IPN * * Handles the IPN post back to Paypal and parsing the response. Call this * method from your IPN listener script. Returns true if the response came * back as "VERIFIED", false if the response came back "INVALID", and * throws an exception if there is an error. * * @param array * * @return boolean */ public function processIpn($post_data=null) { $encoded_data = 'cmd=_notify-validate'; if ($post_data === null) { // use raw POST data if (!empty($_POST)) { $this->post_data = $_POST; $encoded_data .= '&'.file_get_contents('php://input'); } else { throw new Exception("No POST data found."); } } else { // use provided data array $this->post_data = $post_data; foreach ($this->post_data as $key => $value) { $encoded_data .= "&$key=".urlencode($value); } } if ($this->use_curl) $this->curlPost($encoded_data); else $this->fsockPost($encoded_data); if (strpos($this->response_status, '200') === false) { throw new Exception("Invalid response status: ".$this->response_status); } if (strpos($this->response, "VERIFIED") !== false) { return true; } elseif (strpos($this->response, "INVALID") !== false) { return false; } else { throw new Exception("Unexpected response from Paypal."); } } /** * Require Post Method * * Throws an exception and sets a HTTP 405 response header if the request * method was not POST. */ public function requirePostMethod() { // require POST requests if ($_SERVER['REQUEST_METHOD'] && $_SERVER['REQUEST_METHOD'] != 'POST') { header('Allow: POST', true, 405); throw new Exception("Invalid HTTP request method."); } } } ?>

rareclass · Answer

Paypalは、「POODLE」脆弱性に対応してSSLv3を無効にしました。ここでそれについて読む： Paypal Response

Ipnlistener.phpを使用している場合、TLS 1.2をSSLプロトコルとして強制します。

curl_setopt($ch, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_2);

（更新：2017年にはTLS V1.2が必要）

注：Paypalは、システムに対して行われたすべての外部接続を保護するために使用されるプロトコルをアップグレードしています。 Transport Layer Securityバージョン1.2（TLS 1.2）およびHypertext Transfer Protocolバージョン1.1（HTTP/1.1）は、2018年にPaypalとの通信に必須になります。それらを参照してくださいセキュリティロードマップ

heuri · Answer

SSLv3はwww.Paypal.comでは利用できなくなりました。

# sslscan www.Paypal.com|grep Accepted Accepted TLSv1 256 bits AES256-SHA Accepted TLSv1 128 bits AES128-SHA Accepted TLSv1 168 bits DES-CBC3-SHA Accepted TLSv1 128 bits RC4-SHA Accepted TLSv1 128 bits RC4-MD5

CURLOPT_SSLVERSIONをTLSv1に変更する必要があります。

curl_setopt($ch, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

（この「CURL_SSLVERSION_TLSv1」定数は、古いPHPバージョンでは使用できないため、別の方法は、単にCURLOPT_SSLVERSION強制を削除することです。）

Kit Ramos · Answer

私にとっては、他の回答で言及されたこれらのことはどれもうまくいきませんでしたが、修正を理解することはできましたが、同じ行に沿っていますipnリスナーファイルがなかったため、「PPHttpConfig」で致命的なエラーが発生する

だから、これは彼らが現在使用しているリスナーファイルであることがわかりました：

Paypal-PHP-SDK/Paypal/rest-api-sdk-php/lib/Paypal/Core/PayPalHttpConfig.php

中に見つけた

CURLOPT_SSLVERSION => 1

私はそれを次のように変更しました：

CURLOPT_SSLVERSION => 4

そしてそれは私のためにそれを修正しました。

Pedro Doria Meunier · Answer

同感です。失われたhoursそれを理解しようとしています。 IPNリスナーで「force ssl v3」を削除する必要がありました。その瞬間から、私のIPNは再び機能し始めます。

Curl -v https://Paypal.com を実行するだけです

TLS_RSA_WITH_AES_256_CBC_SHAを使用したSSL接続

Curl -v https://Paypal.com を実行するだけです

TLS_RSA_WITH_AES_256_CBC_SHAを使用したSSL接続

Nikunj K. · Answer

PaypalでIPNを確認しているときに同じエラーが発生します。ここに問題の解決策があります

私はPHP 5.3およびPHP 5.3はSSLバージョン3のサポートを終了しました。PHP 5.4のバージョンで、コード行の下に追加されました。

curl_setopt($ch, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_1); curl_setopt($ch, CURLOPT_POST, 1); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_POSTFIELDS, $req); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0); #curl_setopt($ch, CURLOPT_SSLVERSION, 4); curl_setopt($ch, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1); curl_setopt($ch, CURLOPT_SSL_CIPHER_LIST, 'TLSv1');