Quais ações são necessárias para as alterações anunciadas no certificado do PayPal?

21

Estou recebendo e-mails de aviso do PayPal que eles estão fazendo alterações no certificado raiz para conexões SSL para Notificações de pagamento instantâneo (IPN).

Eles estão fazendo várias alterações, incluindo a alteração dos certificados Verisign G2 (1024 bits) para G5 (2048 bits) e a alteração de um hash SHA-1 para SHA-256.

Não tenho certeza de quais ações são necessárias para permanecer compatível com a integração do PayPal.

preciso entrar em contato com meu provedor de hospedagem para explorar quais alterações podem ser necessárias no meu ambiente, incluindo possíveis versões do PHP e armazenamentos de certificados confiáveis?
como parece que a integração do PayPal ao Magento é "integrada" (não uma extensão), haverá correções necessárias para permanecer compatível com o PayPal?

Obrigado!

paypal ssl ipn

— MarkE
fonte

10

Parece haver alguma confusão como resultado do e-mail do PayPal.

O que eles basicamente significam é que o IPN do PayPal funcionará apenas com sites com certificados SSL que estão usando 2048 bits e também SHA-256 .

Agora, 2048 bits devem ser padronizados para todos os certificados SSL, para que não seja um problema.

O SHA-256 é algo que você precisa observar, pois seu certificado SSL ainda pode estar executando o algoritmo hash criptográfico SHA-1 mais antigo .

Você pode verificar se o seu certificado SSL está usando SHA-1 ou SHA-256 neste site: https://shaaaaaaaaaaaaa.com/

Se você ainda estiver usando o SHA-1 , precisará entrar em contato com o emissor do certificado SSL ( não com o provedor de hospedagem ) para reemitir o certificado SSL no SHA-256 e instalá-lo no servidor para substituir o certificado SSL SHA-1 .

— Hospedagem por Aspiração
fonte

2

Trata-se do certificado de servidor do PayPal, não do certificado de servidor do meu domínio. acho que preciso ter certeza de que as conexões PHP do meu servidor suportam o novo certificado assinado do Verisign G5 do PayPal e o SHA-256.

— Marke

2

Não, você deve ter entendido errado. Trata-se do seu próprio certificado SSL. O IPN do PayPal deixará de falar com os Certificados SSL de qualquer comerciante que não usem pelo menos 2048 bits e SHA-256.

— Aspiração Hospedagem

Mas até agora você não precisava de nenhum certificado, ele funcionava mesmo sem SSL. Acho que isso não se refere ao certificado SSL do comerciante, porque não precisávamos de nenhum certificado antes. Caso contrário, eles mencionariam que a partir de agora precisaremos de SSL, mas não, eles não mencionaram isso, apenas mencionaram que atualizarão para o SHA-256.

— precisa saber é o seguinte

@AspirationHosting atualização para o meu comentário anterior: Em seu e-mail está escreveu:

Testing in the Sandbox is one of the best ways to make sure your integration works. Sandbox endpoints have been upgraded to accept secure connections by the SHA-256 Certificates.

. Testei meu site com sandbox e ele colocou com êxito o status Complete, o que significa que o IPN funciona mesmo que meu site não possua certificado SSL. Então eu acho que essa resposta está correta.

— precisa saber é o seguinte

O @JohnyFree PayPal declarou que, se você não possui nenhum certificado SSL, o anúncio não se aplica a você e você pode continuar recebendo o IPN como de costume. Se você usa um certificado SSL, precisa certificar-se de que seja pelo menos 2048 bits e SHA-256. Acredito que o motivo disso é que, quando você tem um SSL, mas não é seguro, você oferece aos usuários finais uma falsa sensação de segurança, mas se você não usar nenhum SSL, os usuários finais não se "sentirão seguros" no primeiro lugar, então o ponto é discutível.

— Aspiração Hospedagem

2

Você também pode verificá-lo em seu servidor executando

openssl s_client -connect api-3t.sandbox.paypal.com:443 -showcerts | egrep -wi "G5|return"

Nessa saída, você deve observar a presença de dois itens específicos:

Uma autoridade de certificação que contém "G5". Observe que você pode ver várias linhas CA na sua saída; desde que o G5 esteja incluído, seu servidor é compatível. A Verifique o código de retorno "0 (ok)".

Se ambos estiverem presentes, seu servidor é compatível e nenhuma outra ação precisa ser tomada.

Creds vão para liquidweb

— Stefan
fonte

1

Informações completas do pdf de atualização de segurança paypal (mais idiomas aqui ).

No Linux, você pode verificar o certificado raiz G5 da Verisign usando este script de shell .

No Windows, o método é um pouco diferente, você pode conferir aqui .

Se o sistema tiver o certificado raiz G5, nenhuma ação adicional será necessária.

— glimmertea
fonte

1

Foi o que fiz para verificar se meus sistemas estão prontos para esta alteração de certificado:

Na minha caixa debian que hospeda o Magento, vá para / etc / ssl / certs para procurar o certificado raiz exigido pelo paypal. Encontrei lá: VeriSign_Class_3_Public_Primary_Certification_Authority _-_ G5.pem => good.

Passei um pedido no meu ambiente de teste que está vinculado à sandbox paypal e paguei usando um cartão de crédito de teste (consulte getcreditcardnumbers.com para obter um). => bom.
No backoffice do Mangento, Menu vendas> pedidos> exibe o pedido. No histórico de Comentários, eu pude ver o IPN concluído, com o ID da transação do paypal. => bom.
Abri /var/www/[myshoporgeous/var/log/payment_hosted_pro.log na caixa debian que hospeda o magento para ver se houve algum erro ou aviso. => tudo de bom. E notei o link de postagem ([postback_to] => www.sandbox.paypal.com/cgi-bin/webscr)
Usei o link que você forneceu para verificar qual foi o algoritmo usado para esse URL: https://shaaaaaaaaaaaaa.com/check/www.sandbox.paypal.com => Bom. Embora o site de produção seja https://shaaaaaaaaaaaaa.com/check/www.paypal.com => ruim. Então, no meu ambiente de teste, que é muito semelhante ao da produção, está tudo bem com o certificado usado na sandbox pelo paypal. Portanto, quando o paypal mudar seu certificado para o site, o meu ainda deverá receber o IPN.

— Demetis
fonte