Những hành động cần thiết cho thay đổi chứng chỉ được công bố của PayPal?

21

Tôi đang nhận được email cảnh báo từ PayPal rằng họ đang thực hiện thay đổi chứng chỉ gốc cho các kết nối SSL cho Thông báo thanh toán tức thì (IPN).

Họ đang thực hiện một số thay đổi bao gồm thay đổi từ chứng chỉ Verisign G2 (1024 bit) sang G5 (2048 bit) và thay đổi từ băm SHA-1 sang SHA-256.

Tôi không chắc những hành động nào là cần thiết đối với tôi để vẫn tương thích với tích hợp PayPal.

Tôi có cần liên hệ với nhà cung cấp dịch vụ lưu trữ của mình để khám phá những thay đổi có thể cần thiết trong môi trường của mình, bao gồm các phiên bản PHP có thể và các cửa hàng chứng chỉ tin cậy không?
vì có vẻ như tích hợp PayPal cho Magento là 'tích hợp' (không phải là tiện ích mở rộng) sẽ có các bản vá cần thiết để vẫn tương thích với PayPal?

Cảm ơn!

paypal ssl ipn

— Đánh dấu
nguồn

10

Dường như có khá nhiều nhầm lẫn do kết quả của email của PayPal.

Điều cơ bản có nghĩa là PayPal IPN sẽ chỉ hoạt động với các trang web có Chứng chỉ SSL đang sử dụng 2048-bit và SHA-256 .

2048-bit nên được chuẩn hóa cho tất cả các Chứng chỉ SSL để không gặp sự cố.

SHA-256 là điều mà bạn cần lưu ý vì Chứng chỉ SSL của bạn vẫn có thể đang chạy SHA-1 cũ hơn thuật toán băm mật mã .

Bạn có thể kiểm tra xem Chứng chỉ SSL của bạn đang sử dụng SHA-1 hay SHA-256 tại trang web này: https://shaaaaaaaaaaaaa.com/.com/

Nếu bạn vẫn đang sử dụng SHA-1 , bạn sẽ cần liên hệ với công ty phát hành Chứng chỉ SSL ( không phải nhà cung cấp dịch vụ lưu trữ của bạn ) để cấp lại Chứng chỉ SSL vào SHA-256 và cài đặt nó trong máy chủ của bạn để thay thế Chứng chỉ SSL SHA-1 .

— Hosting khát vọng
nguồn

2

Đây là về chứng chỉ máy chủ của PayPal, không phải chứng chỉ máy chủ của miền tôi. Tôi nghĩ rằng tôi cần chắc chắn rằng các kết nối PHP từ máy chủ của tôi hỗ trợ cả chứng chỉ đã ký Verisign G5 mới của PayPal và SHA-256.

— Đánh dấu

2

Không, bạn phải hiểu lầm. Đây là về Chứng chỉ SSL của riêng bạn. PayPal IPN sẽ ngừng nói chuyện với bất kỳ Chứng chỉ SSL nào của người bán không sử dụng ít nhất 2048 bit và SHA-256.

— Khát vọng Hosting

Nhưng cho đến bây giờ bạn không cần bất kỳ chứng chỉ nào, nó vẫn hoạt động ngay cả khi không có SSL. Vì vậy, tôi đoán điều này không phải là về Chứng chỉ SSL của người bán vì chúng tôi không cần bất kỳ chứng chỉ nào trước đó. Nếu không, họ sẽ đề cập rằng từ bây giờ chúng tôi sẽ cần SSL, nhưng không họ không đề cập đến điều đó, họ chỉ đề cập rằng họ sẽ nâng cấp lên SHA-256.

— JohnyFree

@Aspirsthosting cập nhật nhận xét trước đây của tôi: Trong e-mail của họ được viết :

Testing in the Sandbox is one of the best ways to make sure your integration works. Sandbox endpoints have been upgraded to accept secure connections by the SHA-256 Certificates.

. Tôi đã kiểm tra trang web của mình bằng hộp cát và nó đặt trạng thái Hoàn thành nghĩa là IPN hoạt động ngay cả khi trang web của tôi không có Chứng chỉ SSL. Vì vậy, tôi nghĩ rằng câu trả lời này là chính xác.

— JohnyFree

@JohnyFree PayPal đã tuyên bố rằng nếu bạn không có bất kỳ Chứng chỉ SSL nào, thông báo sẽ không áp dụng cho bạn và bạn có thể tiếp tục nhận IPN như bình thường. Nếu bạn sử dụng Chứng chỉ SSL, bạn cần đảm bảo rằng nó ít nhất là 2048 bit và SHA-256. Tôi tin rằng lý do họ làm điều này là vì khi bạn có SSL nhưng không an toàn, bạn sẽ mang lại cho người dùng cuối cảm giác an toàn sai lầm nhưng nếu bạn hoàn toàn không sử dụng bất kỳ SSL nào, người dùng cuối của bạn sẽ không "an tâm" trong nơi đầu tiên vì vậy điểm là moot.

— Khát vọng Hosting

2

Bạn cũng có thể kiểm tra nó trên máy chủ của mình bằng cách chạy

openssl s_client -connect api-3t.sandbox.paypal.com:443 -showcerts | egrep -wi "G5|return"

Trong đầu ra đó, bạn sẽ muốn lưu ý sự hiện diện của hai mục cụ thể:

Cơ quan chứng nhận có chứa G5 G5. Lưu ý rằng bạn có thể thấy một số dòng CA trong đầu ra của bạn; miễn là G5 được bao gồm, máy chủ của bạn tuân thủ. Xác nhận mã trả về của 0 0 (ok).

Nếu cả hai đều có mặt, máy chủ của bạn tuân thủ và không cần thực hiện thêm hành động nào.

Creds đi đến Liquidweb

— Stefan
nguồn

1

Thông tin đầy đủ từ nâng cấp bảo mật paypal pdf (thêm ngôn ngữ tại đây ).

Trên Linux, bạn có thể kiểm tra chứng chỉ gốc G5 của Verisign bằng tập lệnh shell này .

Trên windows, phương thức hơi khác một chút, bạn có thể kiểm tra tại đây .

Nếu hệ thống có chứng chỉ gốc G5, không cần thực hiện thêm hành động nào.

— glimmertea
nguồn

1

Đây là những gì tôi đã làm để kiểm tra xem hệ thống của tôi đã sẵn sàng để thay đổi chứng chỉ này chưa:

Trên hộp debian của tôi lưu trữ Magento, hãy truy cập / etc / ssl / certs để tìm chứng chỉ gốc theo yêu cầu của paypal. Tôi đã tìm thấy ở đó: VeriSign_Class_3_Public_Primary_Certification_Authority _-_ G5.pem => tốt.

Tôi đã thông qua một đơn đặt hàng trên môi trường thử nghiệm được liên kết với hộp cát paypal và được thanh toán bằng thẻ tín dụng thử nghiệm (xem getcreditcardnumbers.com để có một cái). => tốt.
Trong backoffice Mangento, bán hàng Menu> đơn hàng> xem đơn hàng. Trong lịch sử Nhận xét, tôi có thể thấy IPN đã hoàn thành, với ID giao dịch từ paypal. => tốt.
Tôi đã mở /var/www/[myshop[/var/log/payment_hosted_pro.log trên hộp debian lưu trữ magento để xem có lỗi hay cảnh báo nào không. => tất cả đều tốt. Và tôi nhận thấy liên kết postback ([postback_to] => www.sandbox.paypal.com/cgi-bin/webscr)
Tôi đã sử dụng liên kết bạn cung cấp để kiểm tra thuật toán được sử dụng cho URL đó là gì: https://shaaaaaaaaaaaaa.com/check/www.sandbox.paypal.com => Tốt. Trong khi đối với trang sản xuất, đó là https://shaaaaaaaaaaaaa.com/check/www.paypal.com => xấu. Vì vậy, trong môi trường thử nghiệm của tôi rất giống với môi trường sản xuất, mọi thứ đều ổn với chứng nhận được sử dụng trong hộp cát của paypal. Vì vậy, khi paypal sẽ thay đổi chứng nhận cho trang web của mình, tôi vẫn có thể nhận IPN.

— Demetis
nguồn