¿Qué acciones son necesarias para los cambios de certificado anunciados por PayPal?

21

Recibo correos electrónicos de advertencia de PayPal de que están realizando cambios en el certificado raíz para las conexiones SSL para las Notificaciones de pago instantáneas (IPN).

Están realizando una serie de cambios, incluido el cambio de los certificados Verisign G2 (1024 bits) a G5 (2048 bits) y el cambio de un hash SHA-1 a SHA-256.

No estoy seguro de qué acciones son necesarias para seguir siendo compatible con la integración de PayPal.

  1. ¿Debo contactar a mi proveedor de alojamiento para explorar qué cambios podrían ser necesarios en mi entorno, incluidas las posibles versiones de PHP y los almacenes de certificados de confianza?

  2. dado que parece que la integración de PayPal para Magento está 'incorporada' (no es una extensión), ¿habrá parches necesarios para seguir siendo compatible con PayPal?

¡Gracias!

paypal ssl ipn MarkE
fuente

Respuestas:

10

Parece haber bastante confusión como resultado del correo electrónico de PayPal.

Básicamente, lo que significan es que PayPal IPN solo funcionará con sitios web con certificados SSL que utilizan 2048 bits y también SHA-256 .

2048 bits ahora debería estandarizarse para todos los certificados SSL, por lo que no debería ser un problema.

SHA-256 es algo que debe tener en cuenta ya que su Certificado SSL aún puede estar ejecutando el algoritmo hash criptográfico SHA-1 anterior .

Puede verificar si su Certificado SSL está utilizando SHA-1 o SHA-256 en este sitio web: https://shaaaaaaaaaaaaa.com/

Si todavía usa SHA-1 , deberá comunicarse con el emisor del Certificado SSL ( no con su proveedor de alojamiento ) para volver a emitir el Certificado SSL en SHA-256 e instalarlo en su servidor para reemplazar el Certificado SSL SHA-1 .

Hospedaje de aspiración
fuente
2
Se trata del certificado de servidor de PayPal, no del certificado de servidor de mi dominio. Creo que necesito asegurarme de que las conexiones PHP desde mi servidor sean compatibles con el nuevo certificado firmado por Verisign G5 de PayPal y SHA-256.
MarkE
2
No, debes haber entendido mal. Se trata de su propio certificado SSL. PayPal IPN dejará de hablar con los certificados SSL de cualquier comerciante que no utilicen al menos 2048 bits y SHA-256.
Aspiración Hosting
Pero hasta ahora no necesitabas ningún certificado, funcionaba incluso sin SSL. Así que supongo que esto no se trata del Certificado SSL del comerciante porque no necesitábamos ningún certificado antes. De lo contrario, mencionarían que a partir de ahora necesitaremos SSL, pero no, no mencionaron eso, solo mencionaron que actualizarán a SHA-256.
JohnyFree
@AspirationHosting actualización de mi comentario anterior: En su correo electrónico se escribió: Testing in the Sandbox is one of the best ways to make sure your integration works. Sandbox endpoints have been upgraded to accept secure connections by the SHA-256 Certificates.. Probé mi sitio web con sandbox y puso con éxito el estado Completo, lo que significa que IPN funciona incluso si mi sitio web no tiene Certificado SSL. Entonces creo que esta respuesta es correcta.
JohnyFree
@JohnyFree PayPal ha declarado que si no tiene ningún Certificado SSL, el anuncio no se aplica a usted y puede continuar recibiendo IPN como de costumbre. Si usa un Certificado SSL, debe asegurarse de que sea de al menos 2048 bits y SHA-256. Creo que la razón por la que hacen esto es porque cuando tienes un SSL pero es inseguro, darás a los usuarios finales una falsa sensación de seguridad, pero si no usas ningún SSL, tus usuarios finales no se sentirán seguros en el primer lugar, entonces el punto es discutible.
Aspiración Hosting
2

También puede verificarlo en su servidor ejecutando

openssl s_client -connect api-3t.sandbox.paypal.com:443 -showcerts | egrep -wi "G5|return"

En esa salida, querrá observar la presencia de dos elementos específicos:

Una autoridad de certificación que contiene "G5". Tenga en cuenta que puede ver varias líneas de CA en su salida; siempre que se incluya G5, su servidor es compatible. A Verifique el código de retorno de "0 (ok)".

Si ambos están presentes, su servidor es compatible y no es necesario tomar medidas adicionales.

Los créditos van a la red líquida

Stefan
fuente
1

Esto es lo que he hecho para verificar si mis sistemas están listos para este cambio de certificado:

En mi caja de Debian que aloja Magento, vaya a / etc / ssl / certs para buscar el certificado raíz requerido por paypal. Encontré allí: VeriSign_Class_3_Public_Primary_Certification_Authority _-_ G5.pem => bueno.

  • Aprobé una orden en mi entorno de prueba que está vinculada a la caja de arena de PayPal y pagué con una tarjeta de crédito de prueba (consulte getcreditcardnumbers.com para tener una). => bueno.
  • En el backoffice de Mangento, Menú de ventas> pedidos> ver el pedido. En el historial de Comentarios, pude ver IPN completado, con el ID de transacción de paypal. => bueno.
  • Abrí /var/www/[myshopfont>/var/log/payment_hosted_pro.log en la caja de Debian que aloja Magento para ver si había algún error o advertencia. => todo bien. Y noté el enlace de devolución ([postback_to] => www.sandbox.paypal.com/cgi-bin/webscr)
  • Utilicé el enlace que proporcionó para verificar cuál era el algoritmo utilizado para esa URL: https://shaaaaaaaaaaaaa.com/check/www.sandbox.paypal.com => Bien. Mientras que para el sitio de producción, es https://shaaaaaaaaaaaaa.com/check/www.paypal.com => bad. Entonces, en mi entorno de prueba, que es muy similar al de producción, todo está bien con el certificado utilizado en la caja de arena por PayPal. Entonces, cuando PayPal cambie su certificado para su sitio, el mío aún debería poder recibir IPN.
Demetis
fuente