AGGIORNAMENTO PAYPAL 30/09/2015 SHA-256 endpoint IPN

[maxkart]

Ciao a tutti.

Ho bisogno del vostro aiuto, se potete...
Mi è arrivata una mail da paypal nella quale mi si chiede di aggiornare gli endpoint IPN .

Questo endpoint è anche per i commercianti che utilizzano il prodotto Notifica per pagamenti immediati (IPN).

Non sapendo di cosa si tratta ed avendo una versione 1.2.5 di prestashop con cui mi trovo benissimo, volevo sapere se devo effettivament efare qualcosa o se invece posso mantenere tutto invariato.

 

Grazie per l'aiuto!

[maxkart]

Ecco il link con le istruzioni inviate da paypal:

 

https://www.paypal-knowledge.com/resources/sites/PAYPAL/content/live/FAQ/1000/FAQ1766/en_US/2015%20Merchant%20Security%20System%20Upgrade%20Guide%20(Italian).pdf

[zod]

Anche a me è arrivato l'avviso, e siamo ormai a marzo 2016, adesso sembra che questo standard SHA-256 andrà in vigore da aprile (come mi ha detto l'operatrice PayPal via telefono) o il 17 giugno (come leggo sul sito web PayPal dedicato a tale aggiornamento).
Inoltre non è chiaro, almeno per me, se ciò riguarda solo i siti che usano SSL, oppure quelli che si integrano con login di Paypal (e questo dipenderebbe da come uno configura il modulo), oppure se riguarda tutti indistintamente (cioè anche quelli che fanno solo un carrello, in un sito privo di SSL, che poi delega la transazione ai server di PayPal). O ancora, se improvvisamente PayPal costringerà tutti i siti a procurarsi un certificato SSL per lavorare. Questo aspetto mi sembra fondamentale nel business PayPal, e non mi sembra affrontato dalla documentazione in modo proprio chiaro.

L'eventualità che PayPal costringa tutti ad usare SSL mi sembra molto strana, il trauma sarebbe devastante, fosse anche una interruzione di qualche giorno, si parlerebbe di affari da milioni di euro. Quindi concedetemi i miei forti dubbi che si tratti di questo, anche se tutto è possibile, anche i Big Fail dovuti a cialtronaggine nella comunicazione.... cmq.... staremo a vedere, una discussione recente nel forum è qui: https://www.prestashop.com/forums/topic/468657-paypal-moving-to-sha-256-certificate/page-2

[[email protected]]

Copio e incollo da questo topic:

 

Anche io ho lo stesso problema e tuttora l'unica risposta che mi ha dato il servizio tecnico dell'hosting è stata aleatoria, mirata ad evitare il problema.

 

Da questo LINK sembra che se si possiede un sito ospitato da un provider il problema dovrebbe essere del provider (vedi Are you hosted? >>> YES), e questo dovrebbe essere il caso della maggior parte dei siti.

 

Se invece il proprio sito è ospitato su un server personale, allora lì (sempre da come interpreto l'infografica) si dovrebbe intervenire sulla tecnologia del proprio server.

 

A anche il fatto che il testo parli di "SYSTEM" e non di "SITE" sembra supportare questa tesi.

 

Che il funzionamento sia questo è una speranza molto remota purtroppo.

 

Anche io mi incodo alla discussione sperando che qualcuno sappia indicare qualcosa di concreto e inizio a rassegnarmi all'idea di fare innumerevoli tentativi con il sandbox paypal, perdere giorni di tempo e probabilmente non concludere nulla e rinunciare al sito e-commerce.

 

Inoltre non capisco per quale motivo il mio sito, che NON tratta direttamente i dati di pagamenti del cliente ma si affida ai server di paypal, dovrebbe essere soggetto a questo tipo di aggiornamento...

[zod]

Penso che al 90% non cambierà niente e la questione aggiornamento SHA-256 e TLS 1.2 coinvolgerà solo i siti che usano già SSL.
Le email in cui sono marcati quei due punti credo siano state un errore, che ha generato panico e confusione, oppure sono potenzialmente corrette se valutate come "precauzione", dato che il Modulo PayPal di Prestashop può funzionare sia come "Payment Standard" che "Payment PRO", quindi con diversi livelli di integrazione.
Poi, anche con modalità standard, vediamo attivabile "Use PayPal In Context Checkout" e "Use the PayPal Login functionnality", la prima permette ai clienti di pagare senza lasciare il sito web, e la seconda permette al sito di usare le credenziali PayPal. Due funzioni che io non uso, ma sono sensibili in fatto di sicurezza, quindi avrebbe senso l'email di PayPal in questi casi.
Non usandole, e rimanendo con la funzione "standard checkout", credo che vengano evitati tutti i problemi di cui si parla.

Purtroppo PayPal fa molta confusione, la sua funzione chiamata IPN, che il carrello ovviamente usa, è un contenitore di tanta roba, e forse non riescono a indirizzare precisamente caso per caso, quindi invitano tutti a fare le stesse cose e a leggere da soli del materiale tecnico. Della IPN ne parlano in italiano in questa pagina https://www.paypal.com/it/cgi-bin/webscr?cmd=p/xcl/rec/ipn-intro-outside
Premendo il link finale "Guida alla notifica immediata di pagamento (PDF)", non si apre un documento, bensì una pagina in inglese questa: https://developer.paypal.com/webapps/developer/docs/classic/products/

Già questo dovrebbe fare pensare che c'è stato un cambiamento, e non esiste della documentazione tradotta. In questa pagina sono elencati vari servizi, come vedete "Adaptive Accounts", "Adaptive Payments", "Express Checkout" e all'interno di questo c'è "In-Context Checkout", e poi troviamo anche Payment Standard e Payment PRO. Tutto un mix di cose, più o meno integrate nei siti web, con necessità di criptazione oppure no.

Questa è la mia opinione e prendetela come tale, resta quel mio 10% di dubbio, non lavoro in PayPal e non so quali siano le loro reali intenzioni.
 

Edited March 19, 2016 by zod (see edit history)

[Guest locen]

Ciao a tutti, avrei un'altra domanda riguardante l'aggiornamento che sarà effettuato il 30 settembre 2016.

- Sarà consentito solo l'utilizzo di collegamenti HTTPS per postback IPN verso www.paypal.com

 

 

Dovrò abilitare il certificato SSL sul sito? qualcuno che possa aiutarmi?

[Guest locen]

perfavore ragazzi, nessuno che possa aiutarmi? 

[zod]

Locen, credo sia difficile darti risposte certe, purtroppo c'è abbastanza confusione, cmq posso condividere questa esperienza diretta.

Avevo il modulo PayPal che indicava l'errore, seguente:

Your configuration use version 1.0 to communicate with PayPal. From July, all payments will be blocked.Thank you to approach your hosting company to enable the TLS version 1.2

Con link che mandava qui: https://www.paypal-knowledge.com/infocenter/index?page=content&widgetview=true&id=FAQ1914&viewlocale=en_US

Quindi ho contattato il mio hosting e dicono di aver forzato TLS a 1.2. Dopo il loro intervento il modulo ora scrive:

Your configuration use version 1.2 of protocol TLS

Ho controllato proprio stamattina, e aggiornato anche il modulo PayPal a versione 3.10.8. Tutti i negozi che indico sono nello stesso hosting, stesso server, non usano protocollo SSL. Usano la configurazione PayPal più base che si possa fare, cioè tutta la transazione avviene nei server sicuri PayPal. Nessuna integrazione diretta.

Negozio Prestashop 1.5.6.3

Modulo PayPal era 3.10.7, indicava l'avviso di configurazione "buona" su una fascia rossa.
Dopo l'aggiornamento a versione 3.10.8 il messaggio è magicamente sparito. Di certo hanno modificato lo script che controlla i requisiti del modulo, e fa l'output del relativo avviso.

Negozio Prestashop 1.6.0.11

Modulo PayPal 3.10.2, non appariva l'avviso. Aggiornato a 3.10.8, non appare ancora l'avviso.

Negozio Prestashop 1.6.1.2

Modulo PayPal 3.10.6, appariva l'avviso buono (ma stavolta con fascia verde). Aggiornato a 3.10.8, non appare più l'avviso.
 

Ne deduco che se i requisiti sono soddisfatti, con il modulo nuovo non appaiono più avvisi, però se il modulo è di qualche subversion precedente potrebbero apparire. Se è una subversion molto vecchia potrebbero non apparire avvisi (come nel mio caso della 3.10.2).
A voi le conclusioni, spero di essere stato utile.


 

[Guest locen]

il modulo installato sul negozio adesso è il 3.8.1 e non appare nessun avviso ma dovrò effettuare lo switch della piattaforma perchè il server attuale non disponde di SHA-256 e TLS 1.2, HTTP 1.1 E G5...per cui dopo aver effettuato lo switch con queste librerie disponibili che richiede paypal, in teoria, dovrebbe essere tutto a posto senza dover installare nessun certificato e senza dover attivare IPN.

Che ansia questo aggiornamento!!

[Guest locen]

inoltre per l'aggiornamento alla nuova versione è tutto ok? non ci sono bug/problemi? la versione con gli aggiornamenti di giugno è la 3.10.8?

[Marco X]

il modulo installato sul negozio adesso è il 3.8.1 e non appare nessun avviso ma dovrò effettuare lo switch della piattaforma perchè il server attuale non disponde di SHA-256 e TLS 1.2, HTTP 1.1 E G5...per cui dopo aver effettuato lo switch con queste librerie disponibili che richiede paypal, in teoria, dovrebbe essere tutto a posto senza dover installare nessun certificato e senza dover attivare IPN.

Che ansia questo aggiornamento!!

 

Sì ma fino a settembre 2016, poi SSL certificato obbligatorio per tutti:

 

SSL Certificate Upgrade

PayPal is in the process of upgrading the SSL certificates used to secure our web sites and API endpoints. These new certificates will be signed using the SHA-256 algorithm and VeriSign’s 2048-bit G5 Root Certificate. You will need to ensure that your environment supports the use of the SHA-256 signing algorithm and discontinue the use of SSL connections that rely on the VeriSign G2 Root Certificate. This action must be taken by Sept 30, 2016 in order to avoid any disruption of service.

fonte

 

inoltre per l'aggiornamento alla nuova versione è tutto ok? non ci sono bug/problemi? la versione con gli aggiornamenti di giugno è la 3.10.8?

 

Non ho avuto modo di testare la nuova versione ma il messaggio d'errore non è più presente quindi mi fa ben sperare che questo benedetto TLS 1.2 sia finalmente supportato su prestashop cloud servers come spiegato dall'utente mdekker nel post Paypal needs to change to TLS 1.2. How

Edited May 13, 2016 by Marco X (see edit history)

[Guest locen]

Marco scusami, ma il certificato SSL diventa obbligatorio solo se IPN è attivo..quello che mi chiedo è: dovrò attivare per forza IPN e quindi installare un certificato SSL? attualmente IPN NON è attivo.

[zod]

inoltre per l'aggiornamento alla nuova versione è tutto ok? non ci sono bug/problemi? la versione con gli aggiornamenti di giugno è la 3.10.8?

Normalmente non dovresti avere problemi ad aggiornare il modulo, la 3.8.1 è molto vecchia. Se anche Prestashop è vecchio, qualche scrupolo lo avrei anche io. Infatti tendo a tenere le versioni dei negozi abbastanza ferme, al massimo le porto su di subversion (ho già provato a cambiare da 1.5 a 1.6 con vari effetti sgradevoli, e non ripeterò più l'errore).

Io farei un backup di sicurezza e poi porterei il modulo a versione attuale, così vedi se appaiono avvisi, e nel caso fai sistemare il server.

 

 

[Guest locen]

lunedì verranno spostati tutti i file su un server aggiornato a quelle librerie. la versione di prestashop è 1.6.0.9 ma ho paura ad aggiornare per cui penso proprio che aggiornerò solo il modulo.

comunque il mio problema è per ipn, sarà obbligatorio attivarlo?

Edited May 13, 2016 by locen (see edit history)

[Marco X]

Marco scusami, ma il certificato SSL diventa obbligatorio solo se IPN è attivo..quello che mi chiedo è: dovrò attivare per forza IPN e quindi installare un certificato SSL? attualmente IPN NON è attivo.

 

No no no ... 

 

SSL This action must be taken by Sept 30, 2016 in order to avoid any disruption of service.

IPN  After June of 2017 HTTP postbacks will no longer be supported --> so postback with HTTPS (SSL)

TLS 1.2 PayPal is updating its services to require TLS v1.2 for all HTTPS connections in June of 2017. After that time, all TLS v1.0 and TLS v1.1 API connections will be refused.

 

 

SSL sarà obbligatorio da settembre, a quel punto anche chi usa IPN dovrà fare i postbacks non più in HTTP ma in HTTPS.

Nel frattempo TLS 1.2 obbligatorio da giugno 2017. 

 

Cito ancora la fonte

Edited May 13, 2016 by Marco X (see edit history)

[Guest locen]

ok per cui IPN può rimanere disattivato e non installo nessun certificato SSL.

Vado in panico con questi aggiornamenti..scusate! 

Edited May 13, 2016 by locen (see edit history)

[Marco X]

ok per cui IPN può rimanere disattivato e non installo nessun certificato SSL.

Vado in panico con questi aggiornamenti..scusate! 

 

 

Non preoccuparti, la community è qui apposta!

 

 

 

 

[Guest locen]

il tuo modulo paypal che versione è? e il tuo shop?

[Marco X]

Prestashop 1.6.1.5  PayPal v3.10.8 - by PrestaShop

[Guest locen]

la versione che uso del negozio in effetti è un pò più vecchia, 1.6.0.9 ma non credo che dovrebbero esserci problemi.

Marco scusami un'altra domanda..hai provato ad effettuare test in sandbox con IPN DISATTIVATE e SENZA CERTIFICATI SSL installati? 

Grazie

Edited May 17, 2016 by locen (see edit history)