Какие действия необходимы для объявленных изменений сертификата PayPal?

21

Я получаю предупреждения от PayPal о том, что они вносят изменения в корневой сертификат для соединений SSL для уведомлений о мгновенных платежах (IPN).

Они вносят ряд изменений, в том числе переходят с сертификатов Verisign G2 (1024-разрядный) на G5 (2048-разрядный) и переходят с хэшей SHA-1 на SHA-256.

Я не уверен, какие действия необходимы мне, чтобы оставаться совместимым с интеграцией PayPal.

  1. мне нужно связаться с моим хостинг-провайдером, чтобы выяснить, какие изменения могут потребоваться в моей среде, включая возможные версии PHP и надежные хранилища сертификатов?

  2. поскольку кажется, что интеграция PayPal для Magento является «встроенной» (а не расширением), будут ли необходимые исправления, чтобы оставаться совместимыми с PayPal?

Благодарность!

MARKE
источник

Ответы:

10

Похоже, что электронное письмо от PayPal вызывает некоторую путаницу.

В основном это означает, что PayPal IPN будет работать только с веб-сайтами с SSL-сертификатами, которые используют 2048-битный формат, а также SHA-256 .

2048-битный теперь должен быть стандартизирован для всех сертификатов SSL, поэтому это не должно быть проблемой.

SHA-256 - это то, на что вам следует обратить внимание, поскольку ваш SSL-сертификат все еще работает с более старым алгоритмом криптографического хэширования SHA-1 .

Вы можете проверить, использует ли ваш сертификат SSL SHA-1 или SHA-256 на этом веб-сайте: https://shaaaaaaaaaaaaa.com/

Если вы все еще используете SHA-1 , вам нужно будет связаться с издателем вашего SSL-сертификата ( не с вашим хостинг-провайдером ), чтобы переиздать SSL-сертификат в SHA-256 и установить его на своем сервере для замены SSL-сертификата SHA-1 .

Стремление Хостинг
источник
2
Это касается сертификата сервера PayPal, а не сертификата сервера моего домена. Я думаю, мне нужно быть уверенным, что PHP-соединения с моего сервера поддерживают как новый подписанный сертификат PayPal Verisign G5, так и SHA-256.
MarkE
2
Нет, вы, наверное, неправильно поняли. Это касается вашего собственного SSL-сертификата. PayPal IPN перестанет общаться с SSL-сертификатами любого продавца, которые не используют как минимум 2048-битные и SHA-256.
Стремление Хостинг
Но до сих пор вам не понадобился сертификат, он работал даже без SSL. Так что я думаю, что это не о SSL-сертификате продавца, потому что нам раньше не требовался какой-либо сертификат. В противном случае они отметили бы, что теперь нам понадобится SSL, но нет, они не упомянули об этом, они просто упомянули, что обновят до SHA-256.
JohnyFree
@AspirationHosting обновления к моему предыдущему комментарию: В своей электронной почте является писало: Testing in the Sandbox is one of the best ways to make sure your integration works. Sandbox endpoints have been upgraded to accept secure connections by the SHA-256 Certificates.. Я проверил свой веб-сайт с песочницей, и он успешно установил статус завершения, что означает, что IPN работает, даже если мой веб-сайт не имеет SSL-сертификата. Поэтому я думаю, что этот ответ правильный.
JohnyFree
@JohnyFree PayPal заявили, что если у вас нет SSL-сертификата, объявление не распространяется на вас, и вы можете продолжать получать IPN в обычном режиме. Если вы используете SSL-сертификат, вы должны убедиться, что он по крайней мере 2048-битный и SHA-256. Я полагаю, что причина этого заключается в том, что, когда у вас есть SSL, но небезопасный, вы дадите конечным пользователям ложное чувство безопасности, но если вы вообще не используете SSL, ваши конечные пользователи не «чувствуют себя в безопасности» в первое место, так что вопрос спорный.
Стремление Хостинг
2

Вы также можете проверить это на своем сервере, запустив

openssl s_client -connect api-3t.sandbox.paypal.com:443 -showcerts | egrep -wi "G5|return"

В этом выводе вы захотите отметить наличие двух конкретных элементов:

Центр сертификации, содержащий «G5». Обратите внимание, что вы можете увидеть несколько строк CA в выходных данных; Пока G5 включен, ваш сервер совместим. A Проверьте код возврата «0 (ок)».

Если оба присутствуют, ваш сервер соответствует требованиям и никаких дальнейших действий не требуется.

Кредиты уходят в liquidweb

Стефан
источник
1

Полная информация от PayPal pdf обновления безопасности (больше языков здесь ).

В Linux вы можете проверить наличие корневого сертификата Verisign G5 с помощью этого сценария оболочки .

На окнах метод немного отличается, вы можете проверить здесь .

Если система имеет корневой сертификат G5, никаких дальнейших действий не требуется.

glimmertea
источник
1

Вот что я сделал, чтобы проверить, готовы ли мои системы к этому изменению сертификата:

На моем Debian Box с хостингом Magento перейдите в / etc / ssl / certs, чтобы найти корневой сертификат, требуемый PayPal. Я нашел там: VeriSign_Class_3_Public_Primary_Certification_Authority _-_ G5.pem => хорошо.

  • Я прошел заказ в своей тестовой среде, которая связана с песочницей PayPal, и оплатил ее с помощью тестовой кредитной карты (см. Getcreditcardnumbers.com). => хорошо.
  • В офисе Mangento, меню Продажи> Заказы> Просмотр заказа. В истории комментариев я видел завершенный IPN с идентификатором транзакции из PayPal. => хорошо.
  • Я открыл /var/www/[myshop]/var/log/payment_hosted_pro.log в Debian Box хостинг magento, чтобы увидеть, есть ли какие-либо ошибки или предупреждения. => все хорошо. И я заметил обратную ссылку ([postback_to] => www.sandbox.paypal.com/cgi-bin/webscr)
  • Я использовал предоставленную вами ссылку, чтобы проверить, какой алгоритм использовался для этого URL: https://shaaaaaaaaaaaaa.com/check/www.sandbox.paypal.com => Хорошо. В то время как для производственного сайта это https://shaaaaaaaaaaaaa.com/check/www.paypal.com => плохо. Так что в моей тестовой среде, которая очень похожа на рабочую, все в порядке с сертификатом, используемым в песочнице PayPal. Таким образом, когда PayPal будет менять свой сертификат для своего сайта, мой по-прежнему должен иметь возможность получать IPN.
Demetis
источник