Какие действия необходимы для объявленных изменений сертификата PayPal?

Я получаю предупреждения от PayPal о том, что они вносят изменения в корневой сертификат для соединений SSL для уведомлений о мгновенных платежах (IPN).

Они вносят ряд изменений, в том числе переходят с сертификатов Verisign G2 (1024-разрядный) на G5 (2048-разрядный) и переходят с хэшей SHA-1 на SHA-256.

Я не уверен, какие действия необходимы мне, чтобы оставаться совместимым с интеграцией PayPal.

1. мне нужно связаться с моим хостинг-провайдером, чтобы выяснить, какие изменения могут потребоваться в моей среде, включая возможные версии PHP и надежные хранилища сертификатов?

2. поскольку кажется, что интеграция PayPal для Magento является «встроенной» (а не расширением), будут ли необходимые исправления, чтобы оставаться совместимыми с PayPal?

Благодарность!

Похоже, что электронное письмо от PayPal вызывает некоторую путаницу.

В основном это означает, что PayPal IPN будет работать только с веб-сайтами с SSL-сертификатами, которые используют 2048-битный формат, а также SHA-256 .

2048-битный теперь должен быть стандартизирован для всех сертификатов SSL, поэтому это не должно быть проблемой.

SHA-256 - это то, на что вам следует обратить внимание, поскольку ваш SSL-сертификат все еще работает с более старым алгоритмом криптографического хэширования SHA-1 .

Вы можете проверить, использует ли ваш сертификат SSL SHA-1 или SHA-256 на этом веб-сайте: https://shaaaaaaaaaaaaa.com/

Если вы все еще используете SHA-1 , вам нужно будет связаться с издателем вашего SSL-сертификата ( не с вашим хостинг-провайдером ), чтобы переиздать SSL-сертификат в SHA-256 и установить его на своем сервере для замены SSL-сертификата SHA-1 .

Вы также можете проверить это на своем сервере, запустив

openssl s_client -connect api-3t.sandbox.paypal.com:443 -showcerts | egrep -wi "G5|return"

В этом выводе вы захотите отметить наличие двух конкретных элементов:

Центр сертификации, содержащий «G5». Обратите внимание, что вы можете увидеть несколько строк CA в выходных данных; Пока G5 включен, ваш сервер совместим. A Проверьте код возврата «0 (ок)».

Если оба присутствуют, ваш сервер соответствует требованиям и никаких дальнейших действий не требуется.

Кредиты уходят в liquidweb

Полная информация от PayPal pdf обновления безопасности (больше языков здесь ).

В Linux вы можете проверить наличие корневого сертификата Verisign G5 с помощью этого сценария оболочки .

На окнах метод немного отличается, вы можете проверить здесь .

Если система имеет корневой сертификат G5, никаких дальнейших действий не требуется.

Вот что я сделал, чтобы проверить, готовы ли мои системы к этому изменению сертификата:

На моем Debian Box с хостингом Magento перейдите в / etc / ssl / certs, чтобы найти корневой сертификат, требуемый PayPal. Я нашел там: VeriSign_Class_3_Public_Primary_Certification_Authority _-_ G5.pem => хорошо.

• Я прошел заказ в своей тестовой среде, которая связана с песочницей PayPal, и оплатил ее с помощью тестовой кредитной карты (см. Getcreditcardnumbers.com). => хорошо.
• В офисе Mangento, меню Продажи> Заказы> Просмотр заказа. В истории комментариев я видел завершенный IPN с идентификатором транзакции из PayPal. => хорошо.
• Я открыл /var/www/[myshop]/var/log/payment_hosted_pro.log в Debian Box хостинг magento, чтобы увидеть, есть ли какие-либо ошибки или предупреждения. => все хорошо. И я заметил обратную ссылку ([postback_to] => www.sandbox.paypal.com/cgi-bin/webscr)
• Я использовал предоставленную вами ссылку, чтобы проверить, какой алгоритм использовался для этого URL: https://shaaaaaaaaaaaaa.com/check/www.sandbox.paypal.com => Хорошо. В то время как для производственного сайта это https://shaaaaaaaaaaaaa.com/check/www.paypal.com => плохо. Так что в моей тестовой среде, которая очень похожа на рабочую, все в порядке с сертификатом, используемым в песочнице PayPal. Таким образом, когда PayPal будет менять свой сертификат для своего сайта, мой по-прежнему должен иметь возможность получать IPN.