Jakie działania są konieczne do zapowiedzianych zmian certyfikatów PayPal?

Otrzymuję e-maile ostrzegawcze z PayPal, że wprowadzają zmiany w certyfikacie głównym dla połączeń SSL dla natychmiastowych powiadomień o płatności (IPN).

Wprowadzają szereg zmian, w tym zmieniają certyfikaty Verisign G2 (1024-bit) na G5 (2048-bit) i zmieniają skróty z SHA-1 na SHA-256.

Nie jestem pewien, jakie działania są potrzebne, aby zachować zgodność z integracją PayPal.

1. czy muszę skontaktować się z dostawcą hostingu, aby dowiedzieć się, jakie zmiany mogą być potrzebne w moim środowisku, w tym możliwe wersje PHP i zaufane magazyny certyfikatów?

2. skoro wydaje się, że integracja z Magento w systemie PayPal jest „wbudowana” (a nie rozszerzenie), czy będą konieczne poprawki, aby zachować zgodność z PayPal?

Dzięki!

Wydaje się, że w związku z wiadomością e-mail wysyłaną przez PayPal jest dość zamieszanie.

Zasadniczo oznacza to, że PayPal IPN będzie działać tylko z witrynami z certyfikatami SSL, które używają 2048-bitów, a także SHA-256 .

2048-bit powinien być teraz ustandaryzowany dla wszystkich certyfikatów SSL, więc nie powinno stanowić problemu.

SHA-256 jest czymś, na co musisz zwrócić uwagę, ponieważ Twój certyfikat SSL może nadal obsługiwać starszy algorytm szyfrowania kryptograficznego SHA-1 .

Możesz sprawdzić, czy Twój certyfikat SSL używa SHA-1 czy SHA-256 na tej stronie: https://shaaaaaaaaaaaaa.com/

Jeśli nadal używasz SHA-1 , musisz skontaktować się z wystawcą certyfikatu SSL ( nie z dostawcą hostingu ), aby ponownie wystawić certyfikat SSL na SHA-256 i zainstalować go na serwerze w celu zastąpienia certyfikatu SSL SHA-1 .

Możesz również sprawdzić to na swoim serwerze, uruchamiając

openssl s_client -connect api-3t.sandbox.paypal.com:443 -showcerts | egrep -wi "G5|return"

W tym wyjściu będziesz chciał zauważyć obecność dwóch konkretnych elementów:

Urząd certyfikacji zawierający „G5”. Zauważ, że możesz zobaczyć kilka wierszy CA na wyjściu; tak długo, jak dołączono G5, twój serwer jest zgodny. Zweryfikuj kod powrotu „0 (ok)”.

Jeśli oba są obecne, serwer jest zgodny i nie trzeba podejmować żadnych dalszych działań.

Creds iść do liquidweb

Pełna informacja z aktualizacji bezpieczeństwa Paypal pdf (więcej języków tutaj ).

W systemie Linux możesz sprawdzić certyfikat główny Verisign G5 za pomocą tego skryptu powłoki .

W systemie Windows metoda jest nieco inna, możesz sprawdzić tutaj .

Jeśli system ma certyfikat główny G5, nie są wymagane żadne dalsze działania.

Oto, co zrobiłem, aby sprawdzić, czy moje systemy są gotowe na zmianę certyfikatu:

Na moim debianie, na którym znajduje się Magento, przejdź do / etc / ssl / certs, aby poszukać certyfikatu root wymaganego przez paypal. Znalazłem tam: VeriSign_Class_3_Public_Primary_Certification_Authority _-_ G5.pem => dobra.

• Przekazałem zamówienie w moim środowisku testowym, które jest powiązane z piaskownicą Paypal, i zapłaciłem za używanie testowej karty kredytowej (aby ją uzyskać, patrz getcreditcardnumbers.com). => dobrze.
• W backoffice Mangento, Menu sprzedaży> zamówienia> wyświetl zamówienie. W historii komentarzy widziałem zakończenie IPN z identyfikatorem transakcji z paypal. => dobrze.
• Otworzyłem /var/www/[myshop]/var/log/payment_hosted_pro.log na debian box hostującym magento, aby sprawdzić, czy wystąpił jakiś błąd lub ostrzeżenie. => wszystko dobrze. I zauważyłem link zwrotny ([postback_to] => www.sandbox.paypal.com/cgi-bin/webscr)
• Użyłem podanego linku, aby sprawdzić, jakiego algorytmu użyto dla tego adresu URL: https://shaaaaaaaaaaaaa.com/check/www.sandbox.paypal.com => Dobrze. Podczas gdy w przypadku strony produkcyjnej jest https://shaaaaaaaaaaaaa.com/check/www.paypal.com => źle. Tak więc w moim środowisku testowym, które jest bardzo podobne do środowiska produkcyjnego, wszystko jest w porządku z certyfikatem używanym w piaskownicy przez paypal. Tak więc, kiedy paypal zmieni certyfikat dla swojej witryny, moja nadal powinna mieć możliwość otrzymania IPN.