【急】ソフトバンクペイメント 購入完了時のエラーについて

[shotka]

標題の件、下記環境化において、ソフトバンクペイメントの決済画面、カード情報入力後の最後の購入画面で「購入」のクリック後、購入できませんでしたとエラー画面が表示されます。

——————————————-
WordPress のバージョン：4.2.7
Welcart のバージョン：1.4.20
ご利用のテーマ：オリジナル
症状を確認したブラウザ：IE10,chrome,firefox
サーバー（会社名、サービス名）：さくらのレンタルサーバ（ビジネスプロ）
SSLの利用：　あり（さくらレンタルさーばrapid SSL)
WordPress のパーマリンク設定：/%category%/%post_id%/

プラグイン
Akismet
All In One SEO Pack
Breadcrumb NavXT
Category Order and Taxonomy Terms Order
Google Analytics Dashboard for WP
Welcart e-Commerce
WP-DBManager
Yet Another Related Posts Plugin
——————————————–

受注リストには、購入された履歴はのこらないものの、カードからは購入した金額が引かれてしまうといった状況になっております。

ソフトバンクペイメントからは、
下記のような連絡がございました。

【エラー原因】
エラー原因の調査結果は、御社と弊社間通信のやり取りに
おいて購入結果通知を、御社側へ送信した際にSSL証明書
エラーとなりました。

javax.net.ssl.SSLException:
java.lang.RuntimeException: Could not generate DH keypair

【通知先URL】
https://ｘｘｘｘｘ/usces-cart/?uscesid=
（※パラメータ削除）

【依頼内容】
SSL証明書の設定をご確認頂き、弊社側システムとの整合性を
確認させて頂きますので、Cipherリストをご連携頂きますよう
お願いいたします。

↓

その後、

Cipherを最優先する設定を
行なっていただければ通信が可能となります。
御社側で設定いただけますようお願いいたします。
—————————————
AES256-SHA256
AES256-SHA
AES128-SHA256
AES128-SHA
—————————————

と回答がきております。

ただ、上記のような設定を触ることができず、
こちら対応をどのようにすべきか不明になっております。

お手数ですが、修正すべき点、改善すべき点を教えていただきたく。

どうぞよろしくお願い申し上げます。

[nanbu]

こんにちは

SSLの暗号化バージョンが低いためにおきている問題です。
ソフトバンクペイメントからSSLの変更について何度か通知が来ていると思います。

現在のSSLは、さくらサーバーにてインストールした物かと思います。さくらサーバーに問い合わせて、SSLをSAH2に更新してもらってください。

[shotka]

御回答ありがとうございます。
早速、依頼してみます。

[shotka]

さくらレンタルサーバより。

2016/2/25のopensslのメンテナンスにて、セキュリティ上の理由からCipherリストがへんこうされており、個別対応はできないということでした。

ソフトバンクペイメントからも個別対応はできないとのことでしたので、
結果サーバを変更するほかないとのことでした。

[nanbu]

さくらのレンタルサーバ（ビジネスプロ）をご利用でしたらサーバーを変える必要はございません。SSLを取得し直せば良いのではないかと思いますが。

[shotka]

再度、rapidSSLを2/25以降に取得しなおして、現状にいたっております。

別のSSLを購入するということでしょうか？

[nanbu]

shotkaさん、私はSSLの専門家ではないので推測でお話しさせていただきますね。

先日、ソフトバンクペイメントの決済は、SSL通信の仕様がSHA1からSHA2に変りました。これは、全ての決済会社が同様（次期はそれぞれ異なりますが）で、また昨年から告知されていることですので驚く事ではありません。

そのソフトバンクからSSLがおかしいという回答があったのであれば、まずは現在利用中のSSLがSHA1であると疑うのが自然です。

SSLのアルゴリズムを確認するのは簡単です。Chrome をお使いでしたらこうして確認してください。
・ご自分のサイト内のSSLのページを開きます。
・ブラウザのアドレスの左端に、錠のマークがあるかと思いますので、それを右クリックして「接続」タブを開いて下さい。そこにSHA256とあればOKです。

もしちゃんとSHA2にもかかわらずエラーが出るとしたら、あと私に考えられることは、中間証明書の期限が切れていないかくらいです。

もう一度ソフトバンクさんからの回答を見ると、「Cipherを最優先する設定を行なっていただければ通信が可能となります。」となっています。私にはこの意味が分かりません。具体的にどうすればよいのかもう一度ソフトバンクさんに聞いてみてはいかがでしょうか。

[shotka]

御回答ありがとうございます。

>>　そこにSHA256とあればOKです。

はい、ございます。
これは確認済みでした。

ソフトバンクペイメントさま、及びさくらレンタルサーバより
chiper の優先順位が変わったので、いずれからも個別対応は不可とのことでした。

（補足）
さくらレンタルサーバより、chiperの優先順位は変更になっています。
とのことで返答ありでした。

>>中間証明書の期限が切れていないか…

まだ有効期間内でした。
（2014/08/30から 2022/05/21まで）

>>ソフトバンクさんに聞いてみてはいかがでしょうか。

下記のようになるよう、優先順位の変更をさくらさまに更新依頼してください。
ということでしたが、個別対応できないとのことでした。
—————————————
AES256-SHA256
AES256-SHA
AES128-SHA256
AES128-SHA
—————————————

[shotka]

もう少し、こちらでも検討してみます。

色々御対応ありがとうございました！

[dw5]

お世話になります。
同様の症状に陥っております。
さくらサーバー、ソフトバンクペイメントの回答も全く同じものでした。
サーバーの移転を考えているのですが、どのサーバーならOKなのかの検討がつかないところです。
ソフトバンクを使用されていて、問題ないサーバーなどお分かりでしたらご教授頂けますと助かります。
よろしくお願いいたします。

[uishi]

困ってる方がいるのに、単なる野次馬趣味で調べてみた。すいません。

• 「RHEL 6.6 へのアップデート後にエラー “Could not generate DH keypair” が発生する」でググル

サーバーソフトウェアが 1024 以上の暗号化キー長をサポート

してるけど、javaがらみの何かが1024 以上の暗号化キー長をサポートしてないので発生するエラーなのかな。

• 「SSLページの HTML の取得で javax.net.ssl.SSLException」でググル

• サーバーのSSL/TLS設定のツボ（PDF）をググル

さくらサーバのサーバーの設定をいじれるならEDH と頭についてるのよりAES256-SHA256を先にSSLCipherSuiteというのに書いてやるということなのかな。

間違ってたらごめんなさい。

[welcart]

こんにちは

ソフトバンクペイメントの技術の方とお話しさせていただきました。

どうもSSL証明書の問題では無く、OpenSSLの設定の問題らしいです。つまりサーバーの設定になります。しかし、レンタルサーバーは自分で設定を変えることができないので、結論を言いますと、さくらのレンタルサーバーはダメだという事になります。

暫定的な回避策として、個人情報の含まれていないソフトバンクペイメントの結果通知を、非SSLで受け取るという事も考えられます。ただ、Welcartを改変すると、全ての方に影響が出てしまうので、希望の方だけパッチを当てるというやり方で、一時凌ぎしていただくことになります。晴れてさくらサーバーが重い腰を上げてくれた折には、パッチを外すという方法です。

パッチを当てるには、新たにフィルターフックを設置する必要があるので、ご希望の方は Welcart を Development Version にアップグレードしていただく必要があります。パッチを当てたくない方は、サーバーをお引越しという事になります。

パッチは、Development Version にアップグレードした後、ご利用のテーマ内の functions.php に以下のように書いていただきます。

add_filter( 'usces_filter_sbps_pagecon_url', 'my_filter_sbps_pagecon_url' );
function my_filter_sbps_pagecon_url( $url ){
    $url = str_replace( 'https', 'http', $url );
    return $url;
}

今ちょうど、SSLの過渡期なんですね。セキュリティに問題があるので新しいアルゴリズムとプロトコルを使いましょうという流れになっています。変えるのであれば業界一斉に変えてくれればいいんですが、どこの企業もいろいろ都合があるのでしょう。特に巨大化しているさくらサーバーは、こう言った対応には消極的なのか、やる気が無いのか、いつ頃対応するかという予定も教えてくれないです。皆さんにはさくらサーバーを勧めてきたのですが、こうなってくると少し考え無くてはいけませんね。

[dw5]

お世話になります。
なるほど、ソフトバンクペイメントの結果通知を、非SSLで受け取るようにする方法があるのですね。
早速試してみたいと思います。
ありがとうございます。
ここで、疑問なのですが、htaccessでhttp を　https　にリダイレクトする処理を行っておりますが、ソフトバンクペイメントの結果通知もhttpで受け取れますでしょうか？
以上よろしくお願いいたします。

[nanbu]

htaccessでhttp を　https　にリダイレクトする処理を行っております

常時SSLで運用されているという事ですね。リダイレクトを行っていると、そのままでは非SSLで受けることがやはりできません。ソフトバンクのIPアドレスの場合はリダイレクトをしないようhtaccessを修正すれば行けるかと思います。IPアドレスはソフトバンクにご確認ください。

[shotka]

諸々ありがとうございます。

一度、Development Version　にアップグレードしてみます。

また、htaccessも弊社も同様の処理をおこなっておりましたので、
SBPのIPアドレスを確認し、対応してみます。

[投稿者]

投稿