PayPal: Unterstützung von SSL 3.0 wird eingestellt

In der letzten Woche hat PayPal per Mail an seine Kunden verkündet, dass SSL 3.0 am 03. Dezember 2104 aufgrund von Sicherheitsproblemen eingestellt wird und keine Zahlungen mehr über diese SSL-Version möglich ist. Hier erfahren Sie, ob und wie Sie handeln müssen.


Wir haben nach der Umstellung keine Rückmeldungen über Probleme bekommen, daher gehen wir davon aus, daß alle Provider auf einem aktuellen Installationsstand sind, was die SSL-Komponenten angeht.

Der Originaltext von PayPal:

„Am Dienstag, dem 14. Oktober 2014, wurden Informationen über eine Sicherheitslücke im SSL-Protokoll Version 3 (SSL 3.0) veröffentlicht. PayPal nimmt dies sehr ernst und hat seitdem rund um die Uhr daran gearbeitet, mögliche Auswirkungen auf unsere Kunden zu minimieren.

Um die durch das SSL-Protokoll entstandene Sicherheitslücke zu schließen und das damit verbundene potentielle Risiko aufzuheben, wird PayPal am 3. Dezember 2014 um 9.01 Uhr MEZ die Unterstützung von SSL 3.0 einstellen. Möglicherweise verursacht dieser notwendige Schritt Kompatibilitätsprobleme mit Ihrer PayPal-Integration. Dies könnte dazu führen, dass auf Ihrer Website keine PayPal-Zahlungen mehr möglich sind oder andere Probleme mit der Zahlungsverarbeitung auftreten.

Wir können die Unterstützung von SSL 3.0 bis zum 3. Dezember 2014 nur aufrechterhalten, weil wir das Risiko der Sicherheitslücke für unsere Kunden deutlich reduzieren konnten. Wir versichern Ihnen, dass es keine Hinweise darauf gibt, dass die Sicherheit von PayPal beeinträchtigt wurde.

Die Sicherheit der Konten, Informationen und Zahlungen unserer Kunden hat für PayPal höchste Priorität und dient als Grundsatz, wenn wir schwierige Entscheidungen wie diese treffen müssen.“

Keine Eingriffe im Shopsystem notwendig

Die Implementierung unserer PayPal-Schnittstelle setzt kein spezifisches Protokoll voraus, sondern nutzt die vom Server zur Verfügung SSL/TLS-Unterstützung – im Normalfall sollte der Webserver eine kompatible SSL/TLS-Version zur Verfügung stellen. Wir haben unser PayPal-Modul bei einigen großen Providern wie DomainFactory, 1&1, Hetzner,Profihost und Strato erfolgreich – ohne weitere Eingriffe – getestet.

Sollten Sie Bedenken haben, ob Ihr Provider eine kompatible SSL/TLS-Version unterstützt, kontakieren Sie uns bitte, wir stellen Ihnen ein Test-Script zur Verfügung.

Sollte dieser Test negativ ausfallen, haben wir aber keine Möglichkeit, durch eine Änderung am PayPal-Modul das Problem zu lösen – hier muss Ihr Provider eingreifen und die SSL/TLS-Unterstützung auf Serverseite aktualisieren.