OVH Community, votre nouvel espace communautaire.

Paypal nécessite l'activation de TLS 1.2 pour la mi-juin


Jeff-7575
03/06/2016, 16h37
Citation Envoyé par buddy
Pour avoir un Open SSL récent sur l'hébergement mutualisé, il faut aller dans le manager et mettre environnement Stable.

https://www.ovh.com/fr/g2149.modifie...ebergement_web

et attendre quelques dizaines de minutes
Super, ça marche, merci!!!
C'est passé en OpenSSL/1.0.1k.
Bon, il faudrait peut-être en informer le support OVH...

Jeff

buddy
03/06/2016, 11h23
Pour avoir un Open SSL récent sur l'hébergement mutualisé, il faut aller dans le manager et mettre environnement Stable.

https://www.ovh.com/fr/g2149.modifie...ebergement_web

et attendre quelques dizaines de minutes

Jeff-7575
03/06/2016, 06h41
Citation Envoyé par NicolasFR
Cette obligation est semble-t'il planifié pour Juin 2017 et non plus 2016

https://www.paypal-knowledge.com/inf...ewlocale=fr_FR
Bonjour,

En avril dernier j'ai pris un hébergement mutualisé chez OVH (type PRO2014) pour mettre un webstore, et Paypal me jette avec le message lié à TLS, malgré l'activation de PHP7 sensé avoir un package récent de OpenSSL:
" Connection to PayPal server can not be established. error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure. Check your server configuration or contact your hosting provider."

Je lance phpinfo sur l'hébergement et découvre que OVH a mis dans PHP7... "SSL Version OpenSSL/0.9.8o "
Oui, vous avez bien, lu, version 0.9.8o..
TLS 1.2 a été introduit en version 1.1

Bon, je me dis que c'est une erreur et qu'ils vont nous recompiler un PHP7 avec le bon OpenSSL, mais le support répond après quelques jours:
"Suite aux tests le protocole installé sur votre hébergement est bien celui quivest compatible avec paypal le TLSv1.2." (sic)

Avec une telle réponse je commence à avoir de gros doutes sur la compétence du support d'OVH, j'espère que je suis tombé sur celui qui s'y connaissait le moins et que la réponse à ma réponse sera correcte...

Jeff

lxwfr
02/06/2016, 04h47
php/curl, python, ruby on rail, ssi, php.ini,
sécurité: lograde logwatch, iptable, fan2ban, mod security Waf atomic gratuit ou payant,
email: postfix, dovecot, courrier
apache ou nginx
moniteur interne il en 2
cloudflare, spam assasin, ssl let's encrypt..

TLS1.2 faut le configurer depuis un patch en bash et possible d'activer le HTTP/2 openssl fonctionne.qu'avec 1.0.1

je pense avoir tous dit tous les info setrouve kb de plesk
Citation Envoyé par nono67
1) Si je prend un Debian 8 avec Plesk 12.5, est-ce qu'il y aura sur cette config le TLS 1.2 de configuré d'office ?

2) Si je prend un Debian 8 avec Plesk 12.5, comment ça se passe pour les mises à jour (OS, Panel, logiciels, etc...) ? Par exemple, sur la Release 3 on a un lien sur lequel cliquer afin de mettre à jour les pacquets des différents logiciels (curl, dovecot, logwatch, etc...), est-ce qu'on trouve cette fonctionalité sur Plesk 12.5 ?

nono67
26/05/2016, 17h17
Je ne sais pas si c'est une coincidence mais j'avais 125 mise à jour de pacquets à faire sur mon serveur via webmin, j'ai lancé toutes ces mises à jour et maintenant lorsque je tape :
php -r '$ch = curl_init(); curl_setopt($ch, CURLOPT_URL, "https://tlstest.paypal.com/"); var_dump(curl_exec($ch)); var_dump(curl_error($ch));'
Ca me renvoie comme réponse :
PayPal_Connection_OK
Donc à priori le TLS 1.2 est maintenant correctement configuré sur ma R3

nono67
26/05/2016, 16h47
1) Si je prend un Debian 8 avec Plesk 12.5, est-ce qu'il y aura sur cette config le TLS 1.2 de configuré d'office ?

2) Si je prend un Debian 8 avec Plesk 12.5, comment ça se passe pour les mises à jour (OS, Panel, logiciels, etc...) ? Par exemple, sur la Release 3 on a un lien sur lequel cliquer afin de mettre à jour les pacquets des différents logiciels (curl, dovecot, logwatch, etc...), est-ce qu'on trouve cette fonctionalité sur Plesk 12.5 ?

nono67
26/05/2016, 10h53
D'après OVH la Debian 8 https://www.ovh.com/fr/serveurs_dedi...ons/debian.xml demande un niveau confirmé en administration, ce n'est donc pas accessible à tout le monde

Quelle serait d'après vous la config (distribution + panel) la plus fiable, la plus facile à gérer et la plus facile à mettre à jour pour un non expert en la matière ?

sich
25/05/2016, 15h54
Linux ce n'est pas Windows.... On reste dans l'archi prévu au départ... Seules les mises à jour de sécurités sont faites dans une distrib et une version donnée.
Pour monter en version comme c'est le cas là il faut "casser" la distrib... Et souvent c'est compliqué et ça pose un tas de problème autour...
Car ton package n'est pas tout seul, il dépend souvent de beaucoup d'autres tout autour.

Donc il est souvent plus simple et toujours plus fiable de partir sur une distrib à jour (genre Debian 8) et d'y coller un panel.

Ensuite la meilleure chose à faire reste de prendre un infogérant.... Car avoir un serveur sans savoir comment ça marche.... Ben c'est pas trop non plus....

nono67
25/05/2016, 15h49
Pour ceux qui n'ont pas beaucoup de connaissance dans la gestion d'un serveur dédié (comme moi parce que ce n'est pas notre cœur de métier), je t'assure que c'est plus simple pour nous de garder la R3 et d'effectuer une mise à jour du TLS 1.2.... si c'est possible !

La réponse que je n'arrive pas à avoir est : est-ce possible de mettre à jour le TLS 1.2 sur une R3 afin que ce soit comptatible avec la future mise à jour Paypal en 2017 ?

Si la réponse est oui, alors que faut-il faire sur notre R3 ?

Si la réponse est non alors on sera contraint de migrer sur une autre config.... mais ça ma fait "chier" d'avance parce que j'ai changé de serveur il y a à peine 1 an !!!!

sich
25/05/2016, 14h44
La réponse est : virer la R3 et passer à plus récent....
Cela sera beaucoup plus simple, propre et fiable...

nono67
25/05/2016, 14h19
Merci pour ta réponse.

Ma première question était : que faut-il que je fasse sur mon serveur dédié R3 pour passer au TLS 1.2 et que ce soit comptatible avec la mise à jour Paypal (même si celle-ci n'aura lieu qu'en 2017) ?

sich
25/05/2016, 10h44
Les mises à jour de sécurité sont toujours faites, donc si la situation actuelle te conviens tu peux rester en R3.
Mais effectivement il est hautement préférable de passer sur une Debian 8 que de rester en R3...

nono67
25/05/2016, 09h49
On a l'impression d'amateurisme de la part d'OVH, après la très sérieuse faille de sécurité sur la R2 en 2015 il fallait que les clients sous R2 migrent impérativement sous la R3 mais 1 an après on apprend que la R3 n'est pas maintenue.... c'est franchement pas une partie de rigolade de migrer tous nos sites d'un serveur à un autre et de configurer le nouveau serveur : je suis pas franchement ravis

janus57
25/05/2016, 07h25
Citation Envoyé par nono67
La R3 est toujours proposé par OVH https://www.ovh.com/fr/serveurs_dedi.../release_3.xml ou est-ce que tu as vu qu'elle ne sera pas maintenue ?

A priori je ne dois pas être le seul à être sur cette config : que faut-il que je fasse sur mon serveur dédié pour passer au TLS 1.2 ?
Bonjour,

simple j'ai vu ça

Citation Envoyé par AlexR
Bonjour,

La release 3 sera dépréciée et ne sera pas mise-à-jour. (Excepté pour les failles de sécurité).

Si vous avez besoin de paquets récents alors la release n'est pas l'OS adapté à vos besoins.

Il convient uniquement pour une minorité de clients qui ne nécessitent pas de migrer vers les dernières version des différents paquets.

Pour le moment la release 3 est toujours maintenu et elle restera donc la liste des OS disponibles.

Comme indiqué plus haut, je vous conseille l'utilisation d'un panel open-source comme Virtualmin ou bien ISPConfig pour gérer vos différents services sur une Debian fraîche par exemple.

Sinon, côté propriétaire vous avez par exemple Plesk qui convient également pour nombre de nos clients.

L’inconvénient c'est qu'avec un tel système vous êtes tributaire de l'ensemble du Panel...

Cordialement, Alexandre R.
Technicien Support IT Cloud
Cf : https://forum.ovh.com/showthread.php...l=1#post671088

Donc pour moi la R3 est bien à fuir comme @nowwhat, @BBR et d'autre n'arrête pas de le répéter depuis plusieurs mois.

Cordialement, janus57

lxwfr
25/05/2016, 04h59
tous est marqué là https://weakdh.org/sysadmin.html

nono67
24/05/2016, 10h52
La R3 est toujours proposé par OVH https://www.ovh.com/fr/serveurs_dedi.../release_3.xml ou est-ce que tu as vu qu'elle ne sera pas maintenue ?

A priori je ne dois pas être le seul à être sur cette config : que faut-il que je fasse sur mon serveur dédié pour passer au TLS 1.2 ?

janus57
24/05/2016, 08h56
Citation Envoyé par nono67
Merci pour vos réponses.


Que faut-il que je fasse sur mon serveur dédié pour passer au TLS 1.2 ?
Bonjour,

abandonner la R3 qui n'est plus maintenu et vise des cas client très spécifique ?

Cordialement, janus57

nono67
24/05/2016, 08h52
Merci pour vos réponses.

Citation Envoyé par lxwfr
c'est mieux de le faire maintenant de désactiver -TLS1 -TLS1.1 +TLS1.2, que de patientez.., moi je suis passé aux TLS 1.2 dès les failles de sécurité SSL la D.H apparue (sa fait un bout de temps)
Que faut-il que je fasse sur mon serveur dédié pour passer au TLS 1.2 ?

lxwfr
24/05/2016, 00h29
c'est mieux de le faire maintenant de désactiver -TLS1 -TLS1.1 +TLS1.2, que de patientez.., moi je suis passé aux TLS 1.2 dès les failles de sécurité SSL la D.H apparue (sa fait un bout de temps)

NicolasFR
23/05/2016, 18h24
Cette obligation est semble-t'il planifié pour Juin 2017 et non plus 2016

https://www.paypal-knowledge.com/inf...ewlocale=fr_FR


PayPal modifiera-t-il son délai maintenant que le Conseil des normes de sécurité PCI a modifié le sien ?

Oui. Comme vous devez le savoir, le Conseil des normes de sécurité PCI a récemment étendu le délai de modification pour les sociétés de traitement des paiements de 2016 à 2018. Pour continuer à fournir une sécurité des plus élevées tout en tenant compte des besoins de nos clients, nous avons décidé d'exiger TLS 1.2 à partir d'une nouvelle date : le 30 juin 2017.

nono67
23/05/2016, 16h44
Bonjour,

J'ai un serveur dédié CentOS 6 (64 bit) Release 3, que faut-il mettre à jour sur mon serveur pour que ce soit compatible avec la mise à jour Paypal ?

Quand je tape : openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
Quand je tape : curl --version
curl 7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.19.1 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2
Protocols: tftp ftp telnet dict ldap ldaps http file https ftps scp sftp
Features: GSS-Negotiate IDN IPv6 Largefile NTLM SSL libz
Mais quand je tape : php -r '$ch = curl_init(); curl_setopt($ch, CURLOPT_URL, "https://tlstest.paypal.com/"); var_dump(curl_exec($ch)); var_dump(curl_error($ch));'
bool(false)
string(17) "SSL connect error"
Donc à priori il y a un souci avec la connection SSL

Quelqu'un peut-il me dire qu'est-ce que je doit mettre à jour sur mon serveur pour que ça fonctionne avec Paypal ?

Merci pour vos réponses.

Bruno

lxwfr
01/05/2016, 03h59
bjrs, https://alexonbalangue.me/offline/plesk-fix-logjam.html tiens pour t'aider.

kerlin
29/04/2016, 00h36
Bonjour et merci à tous pour vos réponses ! Comme c'est la première fois que je m'occupe d'un serveur, j'espère qu'il y aura un tuto bien clair.
C'est un Linux Plesk 12.

Orang Gila
25/04/2016, 17h36
OVH a enfin mis à jour OpenSSL 1.0.1 pour être en phase avec paypal au mois de juin, voir l’explication :

https://forum.ovh.com/showthread.php...ghlight=TLS1.2

buddy
21/04/2016, 16h59
Citation Envoyé par kerlin
Bonjour, j'ai vu que la mise à jour pour TLS 1.2 est en cours pour le mutualisé. Mais pour un serveur dédié, que faut-il faire ?
Merci d'avance.
ton dédié est sous quel OS ?
pour Centos, red hat et etc ..
yum update
pour debian, ubuntu
apt-get update && apt-get upgrade -y

devrait le mettre à jour ...

Nowwhat
21/04/2016, 10h18
Citation Envoyé par kerlin
Bonjour, j'ai vu que la mise à jour pour TLS 1.2 est en cours pour le mutualisé. Mais pour un serveur dédié, que faut-il faire ?
Le serveur web (Apache2) et les outils comme "openssl" et "curl", pour les Mutu's, c'est OVH qui s'occupe.
Un serveur dédié : l'admin du serveur.
Ça fait bien plus qu'une année que le TLS 1.2 est disponible : garde ton serveur à jour (L'OS, les outils) et documente toi concernant les nouvelles possibilités.

NicolasFR
21/04/2016, 08h19
la mailing list parle de Ip SSL :

Germain Masse a écrit :> On va proposer le service IP-SSL (avec Let’s encrypt et autre) qui va garantir le rating A+
cela devrait répondre à ton soucis lorsque ça sortira (pas de date il me semble)

kerlin
20/04/2016, 23h57
Bonjour, j'ai vu que la mise à jour pour TLS 1.2 est en cours pour le mutualisé. Mais pour un serveur dédié, que faut-il faire ?
Merci d'avance.