Stats relevées auprès de différents partenaires : - côté transitaires de paiements internet, <1% des transactions en SSLv3
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmations de paiement quand on utilise leur solution...
c'est quelles banques ? Hugues Le 24/10/2014 09:39, Antoine Benoit a écrit :
Stats relevées auprès de différents partenaires :
- côté transitaires de paiements internet, <1% des transactions en SSLv3
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmations de paiement quand on utilise leur solution...
Liste de diffusion du FRsAG http://www.frsag.org/
Elsynet non plus (HSBC)
Le 24/10/2014 09:39, Antoine Benoit a écrit :
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmations de paiement quand on utilise leur solution...
Liste de diffusion du FRsAG http://www.frsag.org/
Atos Worldline également...
la faute à un curl pas compilé ya 10 ans avec un vieux openssl.... super la sécurité des espaces de transactions bancaires !!!
Le 24/10/2014 09:46, Christophe a écrit :
Elsynet non plus (HSBC)
Le 24/10/2014 09:39, Antoine Benoit a écrit :
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmations de paiement quand on utilise leur solution...
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
pas compris, tu peux détailler ?
Le 26 octobre 2014 16:38, Pierre `Sn4kY` DOLIDON sn4ky@sn4ky.net a écrit :
Atos Worldline également...
la faute à un curl pas compilé ya 10 ans avec un vieux openssl.... super la sécurité des espaces de transactions bancaires !!!
Le 24/10/2014 09:46, Christophe a écrit :
Elsynet non plus (HSBC)
Le 24/10/2014 09:39, Antoine Benoit a écrit :
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmations de paiement quand on utilise leur solution...
Liste de diffusion du FRsAGhttp://www.frsag.org/
Liste de diffusion du FRsAGhttp://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
le module de paiment online d'Atos (enfin surtout le retour qui est passé au site marchand) ne supportait pas TLS v1.X. Et a priori la cause serait que leur curl (puisque c'est dans le sens retour validation de la transaction Atos -> site e-commerce) aurait été compilé avec un openssl qui n'avait pas TLS.
mais c'est peut être réglé depuis le temps... enfin j'espère...
Le 26/10/2014 20:09, Olivier Duquesne (DaffyDuke) a écrit :
pas compris, tu peux détailler ?
Le 26 octobre 2014 16:38, Pierre `Sn4kY` DOLIDON <sn4ky@sn4ky.net mailto:sn4ky@sn4ky.net> a écrit :
Atos Worldline également... la faute à un curl pas compilé ya 10 ans avec un vieux openssl.... super la sécurité des espaces de transactions bancaires !!! Le 24/10/2014 09:46, Christophe a écrit :Elsynet non plus (HSBC) Le 24/10/2014 09:39, Antoine Benoit a écrit :Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmations de paiement quand on utilise leur solution... _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/-- Olivier Duquesne aka DaffyDuke http://www.coincoin.fr.eu.org
S'il s'agit bien de SIPS, a priori, ça a déjà été corrigé, car un de nos sites utilise SIPS, et on a continué à recevoir des retours automatiques sans problème quand on a désactivé le SSL.
Le 27 octobre 2014 12:17, Pierre DOLIDON sn4ky@sn4ky.net a écrit :
le module de paiment online d'Atos (enfin surtout le retour qui est passé au site marchand) ne supportait pas TLS v1.X. Et a priori la cause serait que leur curl (puisque c'est dans le sens retour validation de la transaction Atos -> site e-commerce) aurait été compilé avec un openssl qui n'avait pas TLS.
mais c'est peut être réglé depuis le temps... enfin j'espère...
Le 26/10/2014 20:09, Olivier Duquesne (DaffyDuke) a écrit :
pas compris, tu peux détailler ?
Le 26 octobre 2014 16:38, Pierre `Sn4kY` DOLIDON sn4ky@sn4ky.net a écrit :
Atos Worldline également...
la faute à un curl pas compilé ya 10 ans avec un vieux openssl.... super la sécurité des espaces de transactions bancaires !!!
Le 24/10/2014 09:46, Christophe a écrit :
Elsynet non plus (HSBC)
Le 24/10/2014 09:39, Antoine Benoit a écrit :
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmations de paiement quand on utilise leur solution...
Liste de diffusion du FRsAGhttp://www.frsag.org/
Liste de diffusion du FRsAGhttp://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
-- Olivier Duquesne aka DaffyDuke http://www.coincoin.fr.eu.org
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour à tous,
Le 24/10/2014 09:39, Antoine Benoit a écrit :
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmations de paiement quand on utilise leur solution...
Sur la solution Mercanet, mon contact me dit que le support de TLS sera
mis en place dans la journée. Les recommandations de sécurité seront d'ailleurs mises à jour en demandant la désactivation de SSLv3.
Olivier
De notre côté, lors de notre demande la semaine dernière, on avait eu comme date prévue de mise à jour le 30/10. A suivre donc.
Antoine
Le 29 octobre 2014 09:45, Olivier webmaster@ajeux.com a écrit :
Bonjour à tous,
Le 24/10/2014 09:39, Antoine Benoit a écrit :
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmations de paiement quand on utilise leur solution...
Sur la solution Mercanet, mon contact me dit que le support de TLS sera
mis en place dans la journée. Les recommandations de sécurité seront d'ailleurs mises à jour en demandant la désactivation de SSLv3.
Olivier
Liste de diffusion du FRsAG http://www.frsag.org/
C'est pour BNP Paribas.
c'est quelles banques ?
Hugues Le 24/10/2014 09:39, Antoine Benoit a écrit :
Stats relevées auprès de différents partenaires :
- côté transitaires de paiements internet, <1% des transactions en SSLv3
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmations de paiement quand on utilise leur solution...
+--On 24 octobre 2014 10:02:23 +0200 Antoine Benoit antoine.benoit@gmail.com wrote: |> c'est quelles banques ? |> | C'est pour BNP Paribas.
Je me suis fait mordre par ça cet été quand, dans un accès de folie, je me suis dit que j'allais avoir un A+ chez ssllabs en virant SSLv* et plein d'autres trucs, après deux semaines, et pas mal de transactions à rentrer à la main, le temps que je m'aperçoive que les retours n'arrivaient plus, je suis revenu en arrière et j'ai rajouté SSLv3...
+--On 24 octobre 2014 09:39:34 +0200 Antoine Benoit antoine.benoit@gmail.com wrote: | Stats relevées auprès de différents partenaires : | - côté transitaires de paiements internet, <1% des transactions en SSLv3 | | Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 | bloque les confirmations de paiement quand on utilise leur solution...
Par contre, la partie callback est déjà chiffrée et authentifiée, je l'ai passée sur du http simple, et du coup, résolu le problème :-)
Bonjour,
Pour le support chez Mercanet (BNP), c'est en cours d'escalade chez eux ...
Bonjour
Sur un serveur centos 6.5 avec apache, il semble que le réglage
SSLProtocol all -SSLv2 -SSLv3 soit commun a tous les serveurs virtuels....
du coup retour en arrière ce matin pour des webservices.....
j'ai essayé de l'appliquer pour chaque VirtualHost mais il ne prend pas en compte mes réglages
si quelqu'un a une idée ?
Hugues.
Le 24/10/2014 10:18, Mathieu Arnold a écrit :
+--On 24 octobre 2014 09:39:34 +0200 Antoine Benoit antoine.benoit@gmail.com wrote: | Stats relevées auprès de différents partenaires : | - côté transitaires de paiements internet, <1% des transactions en SSLv3 | | Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 | bloque les confirmations de paiement quand on utilise leur solution...
Par contre, la partie callback est déjà chiffrée et authentifiée, je l'ai passée sur du http simple, et du coup, résolu le problème :-)
Hum, les vhosts arrivent *après* que le tunnel ssl/tls soit monté La seule exception à ma connaissance est SNI, qui permet de donner une indication du nom "cible"
Je doute qu'il existe un mécanisme de ce genre pour la version du protocole
On 24/10/2014 11:52, Hugues wrote:
Bonjour
Sur un serveur centos 6.5 avec apache, il semble que le réglage
SSLProtocol all -SSLv2 -SSLv3 soit commun a tous les serveurs virtuels....
du coup retour en arrière ce matin pour des webservices.....
j'ai essayé de l'appliquer pour chaque VirtualHost mais il ne prend pas en compte mes réglages
si quelqu'un a une idée ?
Hugues.
Le 24/10/2014 10:18, Mathieu Arnold a écrit :
+--On 24 octobre 2014 09:39:34 +0200 Antoine Benoit antoine.benoit@gmail.com wrote: | Stats relevées auprès de différents partenaires : | - côté transitaires de paiements internet, <1% des transactions en SSLv3 | | Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 | bloque les confirmations de paiement quand on utilise leur solution...
Par contre, la partie callback est déjà chiffrée et authentifiée, je l'ai passée sur du http simple, et du coup, résolu le problème :-)
Liste de diffusion du FRsAG http://www.frsag.org/
Sur apache2.4 la configuration par vhost fonctionne très bien.
Le 24/10/2014 12:00, frsag@jack.fr.eu.org a écrit :
Hum, les vhosts arrivent *après* que le tunnel ssl/tls soit monté La seule exception à ma connaissance est SNI, qui permet de donner une indication du nom "cible"
Je doute qu'il existe un mécanisme de ce genre pour la version du protocole
On 24/10/2014 11:52, Hugues wrote:
Bonjour
Sur un serveur centos 6.5 avec apache, il semble que le réglage
SSLProtocol all -SSLv2 -SSLv3 soit commun a tous les serveurs virtuels....
du coup retour en arrière ce matin pour des webservices.....
j'ai essayé de l'appliquer pour chaque VirtualHost mais il ne prend pas en compte mes réglages
si quelqu'un a une idée ?
Hugues.
Le 24/10/2014 10:18, Mathieu Arnold a écrit :
+--On 24 octobre 2014 09:39:34 +0200 Antoine Benoit antoine.benoit@gmail.com wrote: | Stats relevées auprès de différents partenaires : | - côté transitaires de paiements internet, <1% des transactions en SSLv3 | | Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 | bloque les confirmations de paiement quand on utilise leur solution...
Par contre, la partie callback est déjà chiffrée et authentifiée, je l'ai passée sur du http simple, et du coup, résolu le problème :-)
Liste de diffusion du FRsAG http://www.frsag.org/
-
Antoine Benoit -
Christophe -
frsag@jack.fr.eu.org -
Hugues -
Jean Théry -
Mathieu Arnold -
Olivier -
Olivier Duquesne (DaffyDuke) -
Pierre `Sn4kY` DOLIDON -
Pierre DOLIDON