不久前我建立的一个客户网站在过去几年里一直忽略来自 paypal 的电子邮件,直到昨天他们关闭了他的账户,因为他的网站没有使用 TLS 1.2。
该网站托管在运行 Centos 7 并带有 let's encypt ssl 证书的 Digital Ocean VPS 上。
我已经在 做过 SSL 测试https://www.ssllabs.com/它告诉我 tls 1.2 已启用,但是,我编写的一个小脚本(如下)可以 curl paypal 的https://tlstest.paypal.com确认配置不正确(ERROR! Connection is using TLS version lesser than 1.2. Please use TLS1.2)。
$ch = curl_init();
$timeout = 5;
$url = "https://tlstest.paypal.com/";
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
$data = curl_exec($ch);
curl_close($ch);
print_r($data);
输出 SSL 版本给我NSS/3.15.4
作为一名低级前端开发人员,我有点不知该如何继续。经过一番研究,有人建议我添加SSLProtocol -all +TLSv1.2到网站的虚拟主机,但在 apache 重新启动后,这没有任何区别,我仍然在 curl 上收到 paypal 错误消息。(它的原始 lets encrypt 设置是SSLProtocol all -SSLv2 -SSLv3)
这是我的虚拟主机:
有人可以给我指明正确的方向或者向我解释一下(用简单的术语如何解决我的问题?)
干杯
来自 paypal 的邮件:
支付卡行业安全标准委员会 (PCI) 已发布新的安全标准,必须在 2018 年 6 月 30 日前实施。到此日期,所有实体必须停止使用 SSL/早期 TLS 作为其系统中的安全控制,并完全过渡到安全版本的 TLS 加密协议,例如 TLS 1.2。我们的记录表明您的 PayPal 集成使用的版本低于 TLS 1.2。您必须立即采取行动,在 2018 年 6 月 30 日之前升级您的 PayPal 集成以使用 TLS 1.2 加密协议。如果未能在 2018 年 6 月 30 日之前升级您的集成,则意味着您将面临风险,无法接受任何 PayPal 交易或 PayPal 处理的信用卡付款,除非您将您的支付软件升级为支持 TLS 1.2。