TLS 1.2 und HTTP/1.1 – Das bedeuten die neuen Sicherheitsstandards von PayPal

Viele Shop-Betreiber haben in den letzten Wochen eine E-Mail von PayPal erhalten, in der die Einführung von neuen Sicherheitsstandards für den 17. Juni 2016 angekündigt wurden. „Wird PayPal bei mir weiterhin funktionieren?“, lautet seitdem eine häufig gestellte Frage unserer Kunden. Und obwohl PayPal die Umstellung mittlerweile um ein Jahr verschoben hat, ist das für uns Grund genug das Thema einmal ausführlich zu erklären.

Was genau wird bei PayPal umgestellt?

Im Zuge der sicherheitsbedingten Änderungen werden einige Dinge bei PayPal verändert. Neben Dingen, die nur sehr große Webshops oder Entwickler betreffen, wie die Änderung der IP Adresse der PayPal Batch Server oder ein Update der SDK Bibliotheken, werden auch zwei Dinge verändert, die jeden, der PayPal als Zahlungsmethode verwendet, direkt betreffen.

1. Umstellung auf TLS 1.2

Das auch eine SSL-verschlüsselte Verbindung nicht unangreifbar ist, wissen wir spätestens nach bekannten Sicherheitslücken wie Heartbleed und Poodle. Das Protokoll wurde daher immer weiter entwickelt und der Nachfolger von SSL, TLS, steht seit 2008 in der Version 1.2 zur Verfügung. Die älteren Versionen werden noch immer von vielen Verbindungen verwendet, sind in der Zwischenzeit aber (noch) unsicherer geworden. PayPal wird daher in Zukunft nur noch sichere Verbindungen über TLS 1.2 akzeptieren.

2. Upgrade des PayPal SSL Zertifikates

Zeitgleich mit der Weiterentwicklung des Verschlüsselungsstandards haben sich auch der Verschlüsselungsalgorithmus der Zertifikate sowie deren Schlüssellänge verändert. Aktuell gilt eine Schlüssellänge von 2048-bit als sicher und der SHA-256 Algorithmus als Maß aller Dinge. Und genau diese Kombination wird PayPal in Zukunft nutzen, weshalb Dein Server diese Art Zertifikate in Zukunft akzeptieren muss.

Wer muss aktiv werden?

Wie oben erwähnt, müssen alle am Prozess beteiligten Parteien, also sowohl der Client (der Browser Deines Kunden), als auch Dein Server, in der Lage sein eine Verbindung über TLS 1.2 und HTTP/1.1 aufzubauen bzw. entgegen zu nehmen. Auf den Client hast Du als Seiten-Betreiber natürlich keinen Einfluss. Aber beunruhigen muss Dich das nicht, denn mittlerweile unterstützen eigentlich alle Browser diesen neuen SSL-Nachfolgestandard. Selbst der Internet Explorer unterstütz ab Version 11 per Voreinstellung TLS 1.2. Ob Dein System „PayPal Ready“ ist, kannst Du unter diesem Link ausprobieren.

Schwieriger wird es bei den Einstellungen Deines Servers, denn hier musst Du gegebenenfalls tätig werden. Zuerst einmal gilt es zu prüfen, ob Dein Server aktuell schon die neuen Sicherheits-Anforderungen von PayPal erfüllt. Dazu erstellst Du eine .php-Datei mit folgendem Inhalt:


<?php
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "https://tlstest.paypal.com/");
var_dump(curl_exec($ch));
var_dump(curl_error($ch));

Leg die Datei in das Root-Verzeichnis Deiner Domain und rufe www.deine-domain.de/dateiname.php auf. Steht in Deinem Browser „PayPal_Connection_OKbool(true) string(0) „““, dann ist alles in Ordnung. Ist das nicht der Fall, musst Du Dich an Deinen Hosting-Anbieter wenden oder, wenn Du den Server selbst betreust, einiges am System ändern. So musst Du:

  1. Sicherstellen, dass Dein Stack SHA-256 unterstüzt
  2. Die Nutzung von SSL-Verbindungen, die auf dem VeriSign G2 Root-Zertifikat basieren, beenden
  3. Sicherstellen, dass Dein Server HTTP/1.1 unterstützt

Normalerweise sollte es ausreichen OpenSSL auf die aktuellste stabile Version zu updaten. Ältere Server die noch Betriebssysteme wie zum Beispiel Red Hat 5 oder Debian 6 im Einsatz haben, unterstützen jedoch das von PayPal erforderliche TLS 1.2 Protokoll nicht. Es ist daher eine vollständige Migration sämtlicher Dienste und Websites auf eine aktuellere Version des jeweiligen Betriebssystems nötig.

Warum führt PayPal diese Änderungen durch?

Wie bereits angedeutet, entsprechen SSL und die frühen TLS-Versionen nicht mehr den heutigen Sicherheitsanforderungen. Die Protokolle haben Sicherheitslücken, für die es keine Fixes mehr gibt. Um die Daten seiner Nutzer zu schützen, führt PayPal die neuen Sicherheitsstandards ein. Ein weiterer Grund und der vielleicht entscheidende „Tritt in den Hintern“ für PayPal dürfte dabei die Entscheidung des PCI Security Standards Council gewesen sein, dass alle Anbieter von Zahlungsdiensten zwingend bis Juni 2018 auf TLS 1.2 umgestellt haben müssen.

Wir freuen uns in jedem Fall, dass PayPal diesen Schritt geht und die offiziell von der PCI vorgegebene Zeitschiene noch etwas beschleunigt. So bleibt die grundlegende Struktur des Netzes so, wie wir sie gerne haben – sicher! Und um die Frage unserer Kunden zu beantworten: Ihr müsst nichts weiter unternehmen. Alle unsere Systeme sind auf dem neuesten Stand.