PayPalの発表された証明書の変更にはどのようなアクションが必要ですか?


21

PayPalから、即時支払い通知(IPN)のSSL接続のルート証明書を変更しているという警告メールを受信して​​います。

彼らは、Verisign G2(1024ビット)からG5(2048ビット)証明書への変更や、SHA-1ハッシュからSHA-256ハッシュへの変更など、多くの変更を行っています。

PayPal統合との互換性を維持するために必要なアクションがわからない。

  1. ホスティングプロバイダーに連絡して、PHPバージョンや信頼できる証明書ストアなど、環境に必要な変更を調査する必要がありますか?

  2. MagentoのPayPal統合は「拡張」ではなく「組み込み」のように見えるため、PayPalとの互換性を維持するために必要なパッチはありますか?

ありがとう!

回答:


10

PayPalによるメールの結果、かなり混乱しているようです。

彼らが基本的に意味するのは、PayPal IPNは、2048ビットSHA-256を使用しているSSL証明書を持つウェブサイトでのみ動作するということです。

これで、すべてのSSL証明書で2048ビットが標準化されるため、問題になりません。

SSL証明書はまだ古いSHA-1暗号化ハッシュアルゴリズムを実行している可能性があるため、SHA-256は注意する必要があるものです。

SSL証明書がSHA-1またはSHA-256を使用しているかどうかは、次のWebサイトで確認できます:https : //shaaaaaaaaaaaaa.com/

引き続きSHA-1を使用している場合、SSL証明書をSHA-256再発行し、サーバーにインストールしてSHA-1 SSL証明書を置き換えるために、SSL証明書発行者(ホスティングプロバイダーではない)に連絡する必要があります。


2
これは、ドメインのサーバー証明書ではなく、PayPalのサーバー証明書に関するものです。サーバーからのPHP接続がPayPalの新しいVerisign G5署名証明書とSHA-256の両方をサポートしていることを確認する必要があると思います。
MarkE

2
いいえ、あなたは誤解したに違いありません。これは、独自のSSL証明書に関するものです。PayPal IPNは、少なくとも2048ビットとSHA-256を使用していない加盟店のSSL証明書との通信を停止します。
アスピレーションホスティング

ただし、これまで証明書は必要ありませんでしたが、SSLがなくても機能しました。したがって、これは商人のSSL証明書に関するものではないと思います。以前は証明書を必要としなかったからです。そうでなければ、彼らはこれからSSLが必要になると言及しますが、それは言及していません。SHA-256にアップグレードすることを言及しただけです。
ジョニーフリー

以前のコメントに対する@AspirationHostingの更新:彼らの電子メールには次のように書かれています:Testing in the Sandbox is one of the best ways to make sure your integration works. Sandbox endpoints have been upgraded to accept secure connections by the SHA-256 Certificates.。サンドボックスでWebサイトをテストしたところ、正常に完了ステータスが表示されました。これは、WebサイトにSSL証明書がない場合でもIPNが機能することを意味します。ですから、この答えは正しいと思います。
ジョニーフリー

@JohnyFree PayPalは、SSL証明書がない場合、アナウンスは適用されず、通常どおりIPNを受信し続けることができると述べています。SSL証明書を使用する場合、少なくとも2048ビットおよびSHA-256であることを確認する必要があります。彼らがこれを行う理由は、あなたがSSLを持っているが安全ではない場合、エンドユーザーに誤った安心感を与えるが、SSLをまったく使用しない場合、エンドユーザーは最初の場所なので、ポイントは意味がありません。
アスピレーションホスティング

2

サーバーで実行することでも確認できます

openssl s_client -connect api-3t.sandbox.paypal.com:443 -showcerts | egrep -wi "G5|return"

その出力では、2つの特定のアイテムの存在に注意する必要があります。

「G5」を含む認証局。出力に複数のCA行が表示される場合があることに注意してください。G5が含まれている限り、サーバーは準拠しています。A検証戻りコード「0(ok)」。

両方が存在する場合、サーバーは準拠しており、それ以上のアクションを実行する必要はありません。

credsをに行くliquidweb



1

これは、私のシステムがこの証明書の変更に対応しているかどうかを確認するために行ったことです。

Magentoをホストしている私のdebianボックスで、/ etc / ssl / certsに移動して、paypalで必要なルート証明書を探します。そこで見つけた:VeriSign_Class_3_Public_Primary_Certification_Authority _-_ G5.pem => good。

  • テスト環境で、PayPalサンドボックスにリンクされた注文を渡し、テストクレジットカードを使用して支払いを行いました(getcreditcardnumbers.comを参照してください)。=>良い。
  • Mangentoバックオフィスで、メニュー販売>注文>注文を表示します。コメント履歴で、PaypalからのトランザクションIDでIPNが完了したことがわかりました。=>良い。
  • magentoをホストしているdebianボックスで/var/www/[myshop]/var/log/payment_hosted_pro.logを開いて、エラーや警告があるかどうかを確認しました。=>すべて良い。そして、ポストバックリンクに気付きました([postback_to] => www.sandbox.paypal.com/cgi-bin/webscr)
  • 提供されたリンクを使用して、そのURLに使用されているアルゴリズムを確認しました:https : //shaaaaaaaaaaaaa.com/check/www.sandbox.paypal.com => Good。実稼働サイトでは、 https://shaaaaaaaaaaaaa.com/check/www.paypal.com => badです。そのため、実稼働環境と非常によく似たテスト環境では、PayPalがサンドボックスで使用する証明書はすべて問題ありません。したがって、PayPalがそのサイトの証明書を変更しても、私のものはIPNを受信できるはずです。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.