Welche Maßnahmen sind für die angekündigten Zertifikatänderungen von PayPal erforderlich?

21

Ich erhalte eine Warnung per E-Mail von PayPal, dass sie Änderungen am Stammzertifikat für SSL-Verbindungen für Instant Payment Notifications (IPN) vornehmen.

Sie nehmen eine Reihe von Änderungen vor, darunter den Wechsel von Verisign G2-Zertifikaten (1024 Bit) zu G5-Zertifikaten (2048 Bit) und den Wechsel von SHA-1-Hashes zu SHA-256-Hashes.

Ich bin mir nicht sicher, welche Maßnahmen ich treffen muss, um mit der PayPal-Integration kompatibel zu bleiben.

Muss ich meinen Hosting-Anbieter kontaktieren, um zu erfahren, welche Änderungen in meiner Umgebung erforderlich sein könnten, einschließlich möglicher PHP-Versionen und vertrauenswürdiger Zertifikatspeicher?
Da die PayPal-Integration für Magento "eingebaut" zu sein scheint (keine Erweiterung), werden Patches benötigt, um mit PayPal kompatibel zu bleiben?

Vielen Dank!

paypal ssl ipn

— MarkE
quelle

10

Aufgrund der E-Mail von PayPal scheint es einige Verwirrung zu geben.

Sie bedeuten im Wesentlichen, dass PayPal IPN nur mit Websites mit SSL-Zertifikaten funktioniert, die 2048-Bit und SHA-256 verwenden .

2048-Bit sollte nun für alle SSL-Zertifikate standardisiert sein, damit dies kein Problem darstellt.

SHA-256 ist etwas, das Sie beachten müssen, da auf Ihrem SSL-Zertifikat möglicherweise noch der ältere kryptografische SHA-1- Hash-Algorithmus ausgeführt wird.

Sie können auf dieser Website überprüfen, ob Ihr SSL-Zertifikat SHA-1 oder SHA-256 verwendet : https://shaaaaaaaaaaaa.com/

Wenn Sie immer noch SHA-1 verwenden , müssen Sie sich an Ihren SSL-Zertifikatsaussteller ( nicht an Ihren Hosting-Anbieter ) wenden , um das SSL-Zertifikat erneut in SHA-256 auszustellen und auf Ihrem Server zu installieren, um das SHA-1- SSL-Zertifikat zu ersetzen .

— Aspiration Hosting
quelle

2

Hierbei handelt es sich um das Serverzertifikat von PayPal, nicht um das Serverzertifikat meiner Domain. Ich denke, ich muss sicherstellen, dass PHP-Verbindungen von meinem Server sowohl das neue von PayPal signierte Verisign G5-Zertifikat als auch SHA-256 unterstützen.

— 11.

2

Nein, Sie müssen falsch verstanden haben. Hier geht es um Ihr eigenes SSL-Zertifikat. PayPal IPN hört auf, mit SSL-Zertifikaten von Händlern zu kommunizieren, die nicht mindestens 2048-Bit und SHA-256 verwenden.

— Aspiration Hosting

Aber bis jetzt brauchten Sie kein Zertifikat, es funktionierte auch ohne SSL. Ich denke, es geht hier nicht um das SSL-Zertifikat des Händlers, da wir zuvor kein Zertifikat benötigt haben. Andernfalls würden sie erwähnen, dass wir ab sofort SSL benötigen, aber nein, sie haben das nicht erwähnt, sie haben nur erwähnt, dass sie auf SHA-256 upgraden werden.

— JohnyFree

@AspirationHosting Update zu meinem vorherigen Kommentar: In ihrer E-Mail schreibt:

Testing in the Sandbox is one of the best ways to make sure your integration works. Sandbox endpoints have been upgraded to accept secure connections by the SHA-256 Certificates.

. Ich habe meine Website mit Sandbox getestet und sie wurde erfolgreich in den Status "Vollständig" versetzt. Dies bedeutet, dass IPN auch dann funktioniert, wenn meine Website kein SSL-Zertifikat hat. Ich denke also, dass diese Antwort richtig ist.

— JohnyFree

@JohnyFree PayPal hat angegeben, dass die Ankündigung nicht für Sie gilt, wenn Sie kein SSL-Zertifikat haben, und Sie können das IPN wie gewohnt weiter empfangen. Wenn Sie ein SSL-Zertifikat verwenden, müssen Sie sicherstellen, dass es mindestens 2048-Bit und SHA-256 ist. Ich glaube, der Grund, warum sie dies tun, liegt darin, dass Sie den Endbenutzern ein falsches Sicherheitsgefühl geben, wenn Sie SSL nicht verwenden, fühlen sich Ihre Endbenutzer im Internet nicht "sicher" erster Platz also der Punkt ist umstritten.

— Aspiration Hosting

2

Sie können es auch auf Ihrem Server überprüfen, indem Sie ausführen

openssl s_client -connect api-3t.sandbox.paypal.com:443 -showcerts | egrep -wi "G5|return"

In dieser Ausgabe möchten Sie das Vorhandensein von zwei bestimmten Elementen vermerken:

Eine Zertifizierungsstelle, die "G5" enthält. Beachten Sie, dass in Ihrer Ausgabe möglicherweise mehrere CA-Zeilen angezeigt werden. Solange G5 enthalten ist, ist Ihr Server kompatibel. A Überprüfen Sie den Rückkehrcode „0 (ok)“.

Wenn beide vorhanden sind, ist Ihr Server kompatibel und es sind keine weiteren Maßnahmen erforderlich.

Creds gehen ins Liquidweb

— Stefan
quelle

1

Vollständige Informationen aus dem paypal Sicherheitsupgrade pdf (weitere Sprachen hier ).

Unter Linux können Sie mithilfe dieses Shell-Skripts nach dem G5-Stammzertifikat von Verisign suchen .

Auf Windows ist die Methode etwas anders, Sie können hier überprüfen .

Wenn das System über das G5-Stammzertifikat verfügt, sind keine weiteren Maßnahmen erforderlich.

— Glimmertee
quelle

1

So überprüfe ich, ob meine Systeme für diese Zertifikatänderung bereit sind:

Gehen Sie auf meiner Debian-Box, die Magento hostet, zu / etc / ssl / certs, um nach dem von Paypal benötigten Root-Zertifikat zu suchen. Ich fand dort: VeriSign_Class_3_Public_Primary_Certification_Authority _-_ G5.pem => gut.

Ich habe eine Bestellung in meiner Testumgebung abgelegt, die mit der Paypal-Sandbox verknüpft ist, und mit einer Testkreditkarte bezahlt (siehe getcreditcardnumbers.com, um eine zu erhalten). => gut
Im Mangento-Backoffice, Menü "Verkauf"> "Bestellungen"> "Bestellung anzeigen". Im Kommentarverlauf konnte ich sehen, dass das IPN mit der Transaktions-ID von Paypal abgeschlossen wurde. => gut
Ich habe /var/www/[myshop[/var/log/payment_hosted_pro.log auf der Debian-Box, die Magento hostet, geöffnet, um festzustellen, ob ein Fehler oder eine Warnung aufgetreten ist. => alles gut Und mir ist der Postback-Link aufgefallen ([postback_to] => www.sandbox.paypal.com/cgi-bin/webscr)
Ich habe den von Ihnen angegebenen Link verwendet, um zu überprüfen, welcher Algorithmus für diese URL verwendet wurde: https://shaaaaaaaaaaaaaa.com/check/www.sandbox.paypal.com => Gut. Während für die Produktionsstätte ist es https://shaaaaaaaaaaaaa.com/check/www.paypal.com => schlecht. Auf meiner Testumgebung, die der in der Produktion sehr ähnlich ist, ist alles in Ordnung mit dem Zertifikat, das in der Sandbox von Paypal verwendet wird. Wenn paypal also sein Zertifikat für seine Site ändert, sollte meine weiterhin in der Lage sein, IPN zu empfangen.

— Demetis
quelle