Tindakan apa yang diperlukan untuk perubahan sertifikat PayPal yang diumumkan?

21

Saya menerima email peringatan dari PayPal bahwa mereka membuat perubahan sertifikat root untuk koneksi SSL untuk Pemberitahuan Pembayaran Instan (IPN).

Mereka membuat sejumlah perubahan termasuk mengubah dari sertifikat Verisign G2 (1024-bit) ke G5 (2048-bit) dan mengubah dari hash SHA-1 ke SHA-256.

Saya tidak yakin tindakan apa yang perlu saya lakukan agar tetap kompatibel dengan integrasi PayPal.

  1. apakah saya perlu menghubungi penyedia hosting saya untuk mengeksplorasi perubahan apa yang mungkin diperlukan di lingkungan saya, termasuk versi PHP yang mungkin dan toko sertifikat tepercaya?

  2. karena tampaknya integrasi PayPal untuk Magento 'built-in' (bukan ekstensi) akankah ada tambalan yang diperlukan untuk tetap kompatibel dengan PayPal?

Terima kasih!

paypal ssl ipn Tandai
sumber

Jawaban:

10

Tampaknya ada beberapa kebingungan sebagai akibat dari email oleh PayPal.

Apa yang mereka maksudkan pada dasarnya adalah bahwa PayPal IPN hanya akan bekerja dengan situs web dengan Sertifikat SSL yang menggunakan 2048-bit dan juga SHA-256 .

2048-bit sekarang harus distandarisasi untuk semua Sertifikat SSL sehingga seharusnya tidak menjadi masalah.

SHA-256 adalah sesuatu yang perlu Anda perhatikan karena Sertifikat SSL Anda mungkin masih menjalankan algoritma hash kriptografi SHA-1 yang lebih lama .

Anda dapat memeriksa apakah Sertifikat SSL Anda menggunakan SHA-1 atau SHA-256 di situs web ini: https://shaaaaaaaaaaaaaaa.com/

Jika Anda masih menggunakan SHA-1 , Anda harus menghubungi penerbit Sertifikat SSL Anda ( bukan penyedia hosting Anda ) untuk menerbitkan kembali Sertifikat SSL ke dalam SHA-256 dan menginstalnya di server Anda untuk mengganti Sertifikat SSL SHA-1 .

Hosting Aspirasi
sumber
2
Ini tentang sertifikat server PayPal, bukan sertifikat server domain saya. saya pikir saya perlu memastikan bahwa koneksi PHP dari server saya mendukung sertifikat bertanda Verisign G5 dan SHA-256 PayPal yang baru.
MarkE
2
Tidak, Anda pasti salah paham. Ini tentang Sertifikat SSL Anda sendiri. PayPal IPN akan berhenti berbicara dengan Sertifikat SSL pedagang mana pun yang tidak menggunakan setidaknya 2048-bit dan SHA-256.
Aspirasi Hosting
Tetapi sampai sekarang Anda tidak memerlukan sertifikat apa pun, itu berfungsi bahkan tanpa SSL. Jadi saya kira hal ini bukan tentang Sertifikat SSL pedagang karena kami tidak memerlukan sertifikat apa pun sebelumnya. Kalau tidak, mereka akan menyebutkan bahwa mulai sekarang kita akan membutuhkan SSL, tetapi tidak mereka tidak menyebutkan itu, mereka hanya menyebutkan mereka akan meningkatkan ke SHA-256.
JohnyFree
@AspirationHosting update untuk komentar saya sebelumnya: Dalam e-mail mereka menulis: Testing in the Sandbox is one of the best ways to make sure your integration works. Sandbox endpoints have been upgraded to accept secure connections by the SHA-256 Certificates.. Saya menguji situs web saya dengan sandbox dan berhasil menyelesaikan status yang berarti IPN berfungsi bahkan jika situs web saya tidak memiliki Sertifikat SSL. Jadi saya pikir jawaban ini benar.
JohnyFree
@JohnyFree PayPal telah menyatakan bahwa jika Anda tidak memiliki Sertifikat SSL, pengumuman tidak berlaku untuk Anda dan Anda dapat terus menerima IPN seperti biasa. Jika Anda menggunakan Sertifikat SSL, Anda harus memastikan bahwa itu setidaknya 2048-bit dan SHA-256. Saya percaya alasan mereka melakukan ini adalah karena ketika Anda memiliki SSL tetapi tidak aman, Anda akan memberikan rasa aman yang salah kepada pengguna akhir, tetapi jika Anda tidak menggunakan SSL sama sekali, pengguna akhir Anda tidak "merasa aman" di Tempat pertama jadi intinya adalah moot.
Hosting Aspirasi
2

Anda juga dapat memeriksanya di server Anda dengan menjalankan

openssl s_client -connect api-3t.sandbox.paypal.com:443 -showcerts | egrep -wi "G5|return"

Dalam output itu, Anda akan ingin mencatat keberadaan dua item spesifik:

Otoritas Sertifikasi yang mengandung "G5". Perhatikan bahwa Anda mungkin melihat beberapa garis CA di output Anda; selama G5 disertakan, server Anda kompatibel. Verifikasi kode pengembalian “0 (ok)”.

Jika keduanya ada, server Anda kompatibel dan tidak ada tindakan lebih lanjut yang perlu diambil.

Kredit pergi ke liquidweb

Stefan
sumber
1

Ini yang saya lakukan untuk memeriksa apakah sistem saya siap untuk perubahan sertifikat ini:

Di kotak debian saya yang menampung Magento, buka / etc / ssl / certs untuk mencari sertifikat root yang diperlukan oleh paypal. Saya menemukan di sana: VeriSign_Class_3_Public_Primary_Certification_Authority _-_ G5.pem => bagus.

  • Saya melewati pesanan di lingkungan pengujian saya yang terhubung ke kotak pasir paypal, dan membayar menggunakan kartu kredit uji (lihat getcreditcardnumbers.com untuk memilikinya). => bagus.
  • Di kantor Mangento, Menu penjualan> pesanan> lihat pesanan. Dalam sejarah Komentar, saya bisa melihat IPN selesai, dengan ID transaksi dari paypal. => bagus.
  • Saya membuka /var/www/[myshop[/var/log/payment_hosted_pro.log pada kotak debian hosting magento untuk melihat apakah ada kesalahan atau peringatan. => semuanya baik-baik saja. Dan saya perhatikan tautan postback ([postback_to] => www.sandbox.paypal.com/cgi-bin/webscr)
  • Saya menggunakan tautan yang Anda berikan untuk memeriksa algoritma apa yang digunakan untuk URL itu: https://shaaaaaaaaaaaaa.com/check/www.sandbox.paypal.com => Bagus. Sedangkan untuk situs produksi, itu https://shaaaaaaaaaaaaa.com/check/www.paypal.com => buruk. Jadi pada pengujian lingkungan saya yang sangat mirip dengan yang ada di produksi, semuanya baik-baik saja dengan sertifikat yang digunakan dalam kotak pasir oleh paypal. Jadi, ketika paypal akan mengubah sertifikatnya untuk situsnya, tambang saya masih harus dapat menerima IPN.
Demetis
sumber