TLS 1.2 升级 errno 54 后 PayPal 沙箱 API SSL 错误

Posted

技术标签:

【中文标题】TLS 1.2 升级 errno 54 后 PayPal 沙箱 API SSL 错误【英文标题】:PayPal sandbox API SSL error after TLS 1.2 upgrade errno 54 【发布时间】:2018-01-02 14:33:55 【问题描述】:

不确定这是否是最好的询问地点,但在 2017 年 6 月 30 日 PayPal 进行 TLS 1.2 升级后,我无法使用他们的沙盒 NVP 端点:https://api-3t.sandbox.paypal.com/nvp

实时 API https://api-3t.paypal.com/nvp 按预期工作:

~ % curl "https://api-3t.paypal.com/nvp?user=whatever"
ACK=Failure&L_ERRORCODE0=81002&L_SHORTMESSAGE0=Unspecified%20Method&L_LONGMESSAGE0=Method%20Specified%20is%20not%20Supported&L_SEVERITYCODE0=Error

我从服务器获得响应正文。

但如果我用沙盒尝试相同的请求,我会得到:

~ % curl "https://api-3t.sandbox.paypal.com/nvp?user=whatever"
curl: (56) OpenSSL SSL_read: SSL_ERROR_SYSCALL, errno 54

我尝试了几种强制 TLS 1.2 和不安全连接的组合,但它们没有任何区别。这是一个详细的输出:

~ % curl --insecure --tlsv1.2 -v "https://api-3t.sandbox.paypal.com/nvp?user=whatever"
*   Trying 173.0.82.83...
* TCP_NODELAY set
* Connected to api-3t.sandbox.paypal.com (173.0.82.83) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /opt/local/share/curl/curl-ca-bundle.crt
  CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / AES256-SHA256
* ALPN, server did not agree to a protocol
* Server certificate:
*  subject: C=US; ST=California; L=San Jose; O=PayPal, Inc.; OU=PayPal Production; CN=api-3t.sandbox.paypal.com
*  start date: Jan 14 00:00:00 2016 GMT
*  expire date: Jan 14 23:59:59 2018 GMT
*  issuer: C=US; O=Symantec Corporation; OU=Symantec Trust Network; CN=Symantec Class 3 Secure Server CA - G4
*  SSL certificate verify ok.
> GET /nvp?user=whatever HTTP/1.1
> Host: api-3t.sandbox.paypal.com
> User-Agent: curl/7.54.1
> Accept: */*
>
* OpenSSL SSL_read: SSL_ERROR_SYSCALL, errno 54
* Closing connection 0
curl: (56) OpenSSL SSL_read: SSL_ERROR_SYSCALL, errno 54

我在 macOS 上并尝试使用 MacPorts 升级 OpenSSL 和 cURL,我在 php70-curl 中得到了相同的行为,这也是 OpenSSL 1.0.2l 的最新版本。在使用 OpenSSL 1.0.2k 快速检查 FreeBSD 机器后也有同样的行为:

* SSL read: error:00000000:lib(0):func(0):reason(0), errno 54
* Curl_http_done: called premature == 1
* stopped the pause stream!
* Closing connection 0
curl: (56) SSL read: error:00000000:lib(0):func(0):reason(0), errno 54

非常感谢任何帮助

【问题讨论】:

您可以使用openssl s_client -connect api-3t.sandbox.paypal.com:443 -tls1_2 -servername api-3t.sandbox.paypal.com 排除 OpenSSL。 -tls1 失败,而 -tls1_2 成功。当 cURL 报告 “TLS 握手,已完成” 时,cURL 还告诉您问题出在其他地方。 【参考方案1】:

如https://www.paypal.com/au/webapps/mpp/merchant-security-roadmap 中所述,已通过使用 POST 而不是 GET 进行修复 和https://www.paypal.com/au/webapps/mpp/discontinuation-get-method

还必须将我的 POST 数据传递为 application/x-www-form-urlencoded

【讨论】:

以上是关于TLS 1.2 升级 errno 54 后 PayPal 沙箱 API SSL 错误的主要内容,如果未能解决你的问题,请参考以下文章

如何为 TLS 1.2 升级 Stripe

npm publish 时提示需要升级TLS 1.2的解决方案

带有 TLS 1.3 的 Java 11 SSLHandshakeException:如何恢复到 TLS 1.2?

.Net Framework 4.6.1 不默认为 TLS 1.2

如何解决:对应的服务器 tls 为 tls 1.0,小程序要求的TLS版本必须大于等于1.2问题

如何解决:对应的服务器 tls 为 tls 1.0,小程序要求的TLS版本必须大于等于1.2问题