Quali azioni sono necessarie per le modifiche del certificato annunciate da PayPal?

21

Ricevo e-mail di avviso da PayPal che stanno apportando modifiche al certificato di root per le connessioni SSL per le notifiche di pagamento istantaneo (IPN).

Stanno apportando una serie di modifiche tra cui il passaggio da certificati Verisign G2 (1024 bit) a G5 (2048 bit) e il passaggio da hash SHA-1 a SHA-256.

Non sono sicuro di quali azioni sono necessarie per rimanere compatibili con l'integrazione con PayPal.

devo contattare il mio provider di hosting per esplorare quali modifiche potrebbero essere necessarie nel mio ambiente, comprese le possibili versioni di PHP e gli archivi di certificati attendibili?
poiché sembra che l'integrazione di PayPal per Magento sia "integrata" (non un'estensione), ci saranno patch necessarie per rimanere compatibili con PayPal?

Grazie!

paypal ssl ipn

— Marke
fonte

10

Sembra che ci sia un po 'di confusione a causa dell'e-mail di PayPal.

Ciò che sostanzialmente significa è che l'IPN PayPal funziona solo con siti Web con certificati SSL che utilizzano 2048 bit e anche SHA-256 .

2048 bit ora dovrebbe essere standardizzato per tutti i certificati SSL, quindi non dovrebbe essere un problema.

SHA-256 è qualcosa che devi prendere in considerazione poiché il tuo certificato SSL potrebbe ancora eseguire il vecchio algoritmo hash crittografico SHA-1 .

Puoi verificare se il tuo certificato SSL utilizza SHA-1 o SHA-256 su questo sito Web: https://shaaaaaaaaaaaaa.com/

Se stai ancora utilizzando SHA-1 , dovrai contattare il tuo emittente del certificato SSL ( non il tuo provider di hosting ) per riemettere il certificato SSL in SHA-256 e installarlo sul tuo server per sostituire il certificato SSL SHA-1 .

— Hosting di aspirazione
fonte

2

Si tratta del certificato del server PayPal, non del certificato del server del mio dominio. Penso di aver bisogno di essere sicuro che le connessioni PHP dal mio server supportino sia il nuovo certificato firmato Verisign G5 di PayPal sia SHA-256.

— MarkE

2

No, devi aver frainteso. Si tratta del tuo certificato SSL. PayPal IPN smetterà di parlare con i certificati SSL di qualsiasi commerciante che non utilizzano almeno 2048 bit e SHA-256.

— Aspirazione Hosting

Ma fino ad ora non era necessario alcun certificato, funzionava anche senza SSL. Quindi suppongo che questa cosa non riguardi il certificato SSL del commerciante perché non avevamo bisogno di alcun certificato prima. Altrimenti menzionerebbero che d'ora in poi avremo bisogno di SSL, ma no non l'hanno menzionato, hanno appena detto che passeranno a SHA-256.

— JohnyFree,

@AspirationHosting aggiornamento al mio precedente commento: Nella loro e-mail è scritto:

Testing in the Sandbox is one of the best ways to make sure your integration works. Sandbox endpoints have been upgraded to accept secure connections by the SHA-256 Certificates.

. Ho testato il mio sito Web con sandbox e ha inserito correttamente lo stato Completo, il che significa che IPN funziona anche se il mio sito Web non ha certificato SSL. Quindi penso che questa risposta sia corretta.

— JohnyFree,

@JohnyFree PayPal ha dichiarato che se non si dispone di alcun certificato SSL, l'annuncio non si applica a te e puoi continuare a ricevere IPN come al solito. Se si utilizza un certificato SSL, è necessario assicurarsi che sia almeno 2048 bit e SHA-256. Credo che il motivo per cui lo fanno sia perché quando si dispone di un SSL ma non sono sicuri, si darà agli utenti finali un falso senso di sicurezza ma se non si utilizza alcun SSL, gli utenti finali non si "sentono sicuri" nel primo posto quindi il punto è discutibile.

— Aspirazione Hosting

2

Puoi anche controllarlo sul tuo server eseguendolo

openssl s_client -connect api-3t.sandbox.paypal.com:443 -showcerts | egrep -wi "G5|return"

In quell'output, vorrai notare la presenza di due elementi specifici:

Un'autorità di certificazione contenente "G5". Si noti che è possibile che vengano visualizzate più righe CA nell'output; fintanto che è incluso G5, il server è conforme. A Verificare il codice di ritorno "0 (ok)".

Se sono presenti entrambi, il server è conforme e non è necessario intraprendere ulteriori azioni.

I crediti vanno a liquidweb

— Stefan
fonte

1

Informazioni complete dal pdf di aggiornamento di sicurezza di paypal (altre lingue qui ).

Su Linux, è possibile verificare il certificato radice G5 di Verisign utilizzando questo script shell .

Su Windows, il metodo è leggermente diverso, puoi controllare qui .

Se il sistema ha il certificato radice G5, non sono necessarie ulteriori azioni.

— glimmertea
fonte

1

Questo è ciò che ho fatto per verificare se i miei sistemi sono pronti per questa modifica del certificato:

Nella mia casella debian che ospita Magento, vai su / etc / ssl / certs per cercare il certificato radice richiesto da paypal. Ho trovato lì: VeriSign_Class_3_Public_Primary_Certification_Authority _-_ G5.pem => buono.

Ho trasmesso un ordine nel mio ambiente di test collegato alla sandbox paypal e ho pagato utilizzando una carta di credito di prova (vedi getcreditcardnumbers.com per averne uno). => buono.
Nel backoffice di Mangento, Menu sales> ordini> visualizza l'ordine. Nella cronologia dei commenti, ho potuto vedere IPN completato, con l'ID transazione da paypal. => buono.
Ho aperto /var/www/[myshop[/var/log/payment_hosted_pro.log sulla casella debian che ospita magento per vedere se ci fossero errori o avvertimenti. => tutto bene. E ho notato il link postback ([postback_to] => www.sandbox.paypal.com/cgi-bin/webscr)
Ho usato il link che hai fornito per verificare quale fosse l'algoritmo utilizzato per quell'URL: https://shaaaaaaaaaaaaa.com/check/www.sandbox.paypal.com => Buono. Mentre per il sito di produzione, è https://shaaaaaaaaaaaaa.com/check/www.paypal.com => male. Quindi nel mio ambiente di test che è molto simile a quello in produzione, tutto va bene con il certificato usato nella sandbox da paypal. Quindi, quando paypal cambierà il suo certificato per il suo sito, il mio dovrebbe comunque essere in grado di ricevere IPN.

— Demetis
fonte