Які дії необхідні для оголошених змін сертифіката PayPal?

21

Мені надходять повідомлення від PayPal про те, що вони вносять кореневі зміни сертифікатів для з'єднань SSL для сповіщень про миттєві платежі (IPN).

Вони вносять ряд змін, включаючи перехід із сертифікатів Verisign G2 (1024-біт) на G5 (2048-біт) та перехід із хешей SHA-1 на SHA-256.

Я не впевнений, які дії мені необхідні, щоб залишатися сумісними з інтеграцією PayPal.

чи потрібно мені звернутися до свого провайдера хостингу, щоб вивчити, які зміни можуть знадобитися в моєму середовищі, включаючи можливі версії PHP та надійні магазини сертифікатів?
оскільки виявляється, що інтеграція PayPal для Magento є "вбудованою" (а не розширенням), чи будуть необхідні патчі, щоб залишатися сумісними з PayPal?

Спасибі!

paypal ssl ipn

— ПозначитиE
джерело

10

Здається, є певна плутанина внаслідок електронного листа від PayPal.

В основному це означає, що PayPal IPN працюватиме лише з веб-сайтами з SSL-сертифікатами, які використовують 2048 біт, а також SHA-256 .

2048-біт тепер має бути стандартизований для всіх SSL-сертифікатів, тому це не повинно бути проблемою.

SHA-256 - це те, що потрібно взяти до відома, оскільки у вашому SSL-сертифікаті все ще може бути запущений старший алгоритм криптографічного хешу SHA-1 .

Ви можете перевірити, чи ваш сертифікат SSL використовує SHA-1 або SHA-256 на цьому веб-сайті: https://shaaaaaaaaaaaaa.com/

Якщо ви все ще використовуєте SHA-1 , вам потрібно буде звернутися до свого емітента SSL-сертифікатів (а не до постачальника послуг хостингу ), щоб повторно видати SSL-сертифікат у SHA-256 та встановити його на ваш сервер для заміни сертифіката SSA SHA-1 .

— Хостинг хостингу
джерело

2

Мова йде про серверний сертифікат PayPal, а не про сервер мого домену. Я думаю, що мені потрібно бути впевненим, що підключення PHP з мого сервера підтримують новий сертифікат підписаного Verisign G5 PayPal і SHA-256.

— MarkE

2

Ні, ви, мабуть, зрозуміли неправильно. Йдеться про ваш власний сертифікат SSL. PayPal IPN припинить спілкуватися з SSL-сертифікатами будь-якого продавця, які не використовують принаймні 2048-бітові та SHA-256.

— Хостинг прагнень

Але досі вам не знадобився жоден сертифікат, він працював навіть без SSL. Тож я гадаю, що ця річ не стосується SSL-сертифіката продавця, оскільки раніше нам не потрібен був жоден сертифікат. Інакше вони зазначать, що відтепер нам знадобиться SSL, але ні, про це вони не згадували, вони просто згадали, що вони перейдуть на SHA-256.

— JohnyFree

@AspirationHosting поновлення до мого попереднього коментарю: У своїй електронній пошті є писало:

Testing in the Sandbox is one of the best ways to make sure your integration works. Sandbox endpoints have been upgraded to accept secure connections by the SHA-256 Certificates.

. Я перевірив свій веб-сайт із пісочницею, і він успішно поставив Повний статус, що означає, що IPN працює, навіть якщо на моєму веб-сайті немає SSL-сертифіката. Тому я вважаю, що ця відповідь є правильною.

— JohnyFree

@JohnyFree PayPal заявили, що якщо у вас немає сертифіката SSL, повідомлення не стосується вас, і ви можете продовжувати отримувати IPN як завжди. Якщо ви використовуєте сертифікат SSL, вам потрібно переконатися, що він принаймні 2048-бітний і SHA-256. Я вважаю, що причина цього у них полягає в тому, що коли у вас SSL, але незахищена, ви дасте кінцевим користувачам помилкове почуття безпеки, але якщо ви взагалі не використовуєте SSL, ваші кінцеві користувачі не відчувають себе захищеними в перше місце, тому справа в суперечці.

— Хостинг прагнень

2

Ви також можете перевірити це на своєму сервері, запустивши

openssl s_client -connect api-3t.sandbox.paypal.com:443 -showcerts | egrep -wi "G5|return"

У цьому висновку вам потрібно відзначити наявність двох конкретних елементів:

Орган із сертифікації, що містить “G5”. Зверніть увагу, що на виході ви можете побачити кілька рядків CA; доки G5 включений, ваш сервер сумісний. A Перевірте код повернення "0 (нормально)".

Якщо обидва присутні, ваш сервер сумісний і не потрібно вживати жодних подальших дій.

Кредити йдуть у ліквід

— Стефан
джерело

1

Повна інформація з оновлення файлів безпеки PDF в PDF (більше мов тут ).

У Linux ви можете перевірити кореневий сертифікат Verisign G5 за допомогою цього сценарію оболонки .

У Windows метод метод трохи інший, ви можете перевірити тут .

Якщо система має кореневий сертифікат G5, подальших дій не потрібно.

— блискавка
джерело

1

Це я зробив, щоб перевірити, чи мої системи готові до цієї зміни сертифікату:

На моєму вікні Debian, який розміщує Magento, перейдіть до / etc / ssl / certs, щоб шукати кореневий сертифікат, який вимагає paypal. Я знайшов там: VeriSign_Class_3_Public_Primary_Certification_Authority _-_ G5.pem => добре.

Я передав замовлення у своєму тестовому середовищі, яке пов’язане з пісочним пакетом Paypal, і оплатив за допомогою тестової кредитної картки (див. Getcreditcardnumbers.com, щоб мати її). => хороший.
У програмі Mangento Backoffice, продаж у меню> замовлення> перегляд замовлення. В історії коментарів я міг бачити завершений IPN з ідентифікатором транзакції від paypal. => хороший.
Я відкрив /var/www/ evidencemyshopSense/var/log/payment_hosted_pro.log на вікні debian, що розміщує magento, щоб побачити, чи є помилка чи попередження. => все добре. І я помітив посилання backback ([postback_to] => www.sandbox.paypal.com/cgi-bin/webscr)
Я використав посилання, яке ви надали, щоб перевірити, який алгоритм використовується для цієї URL-адреси: https://shaaaaaaaaaaaaa.com/check/www.sandbox.paypal.com => Добре. Хоча для виробничого сайту це https://shaaaaaaaaaaaaa.com/check/www.paypal.com => погано. Тож у моєму тестовому середовищі, яке дуже схоже на те, що є у виробництві, все нормально із сертифікатом, який використовується у пісочниці Paypal. Отже, коли paypal змінить сертифікат для свого сайту, мій все одно повинен мати можливість отримувати IPN.

— Деметис
джерело