Ipn Paypal cambiamento endpoint SHA246

[briccobracco]

Salve vorrei sapere quali modifiche devo apportare al mio attuale ipn per adeguarlo all'aggiornamento che paypal farà al sistema di certificazione di sicurezza prevista per il 30 settembre?

[Gianluca]

Per essere sicuro che tutto funzioni dovrebbe essere sufficiente testare il tuo applicativo usando la loro sandbox

[usbsafeguard]

Ciao Gianluca,

Come accennato da Briccobracco... in questi giorni PayPal stà inviando una email di avviso a tutti coloro che utilizzano i pagamenti immediati (IPN) -ti allego sotto testo dell'email- .

Come tu sai, il servizio IPN non è altro che una comunicazione Server to Server, che PayPal invia al sito web (quando si piazza un bottone [Buy Now]) di un avvenuto pagamento in tempo reale e gestibile tramite script Php -allego sotto un esempio del Php- .

Ora, sappiamo entrambi che per instaurare connessioni Server to Server per ragioni di sicurezza bisogna attivare dal pannello del sito Altervista la funzione fsockopen() di Php o le librerie cURL -fatto al tempo che fù-.

In pratica la domanda è: la connessione tra il Server di PayPal e il Server su cui è ospitato il sito di Altervista avverrà con certificato SHA-256 come richiesto da PayPal dal 30/09/2015? o ci stiamo preoccupando per nulla??

Se la preoccupazione è fondata... facci sapere, grazie.

Nota: su SandBox (ad oggi funziona, bisogna vedere dopo il 30/09).

Aggiornamento dei servizi PayPal

xxxx xxxxxx,

Come ti abbiamo comunicato in precedenza, PayPal sta modificando la categoria del certificato per www.paypal.com a SHA-256. Questo endpoint è anche per i commercianti che utilizzano il prodotto Notifica per pagamenti immediati (IPN).

L'aggiornamento è pianificato per il 30/09/2015; potremmo avere necessità di modificare questa data con un breve preavviso per allinearci allo standard di sicurezza del settore.

Ricevi questa notifica perché sei stato identificato come un commerciante che ha usato endpoint IPN nell'anno passato. Se non hai apportato le modifiche necessarie, ti preghiamo di farlo subito per evitare un'interruzione del servizio.
Poiché si tratta di modifiche tecniche, ti consigliamo di consultare i responsabili della tua integrazione PayPal, che saranno in grado di identificare le eventuali modifiche da implementare. Condividi questo indirizzo email e i link ipertestuali di seguito con il tuo contatto tecnico per la valutazione.

L'esecuzione di test in ambiente Sandbox è uno dei modi migliori per accertarsi che le integrazioni funzionino. Gli endpoint di Sandbox sono stati aggiornati per accettare connessioni sicure dai Certificati SHA-256.

I dettagli tecnici completi sono disponibili nella guida Sicurezza – Guida all'aggiornamento del sistema. Inoltre, nel sito per l'aggiornamento dei certificati SSL 2015-2016 è disponibile il nostro piano di aggiornamento del servizio.

Grazie per la pazienza e la collaborazione.

Codice PHP:

<?php
// PHP 4.1

// read the post from PayPal system and add 'cmd'
$req = 'cmd=_notify-validate';

// run through the posted array
foreach ($_POST as $key => $value)
{
// if magic quotes is enabled strip slashes
if (get_magic_quotes_gpc())
{
$_POST[$key] = stripslashes($value);
$value = stripslashes($value);
}
$value = urlencode($value);
$req .= "&$key=$value";
}

$url = "http://www.paypal.com/cgi-bin/webscr";
$ch = curl_init(); // Starts the curl handler
curl_setopt($ch, CURLOPT_URL,$url); // Sets the paypal address for curl
curl_setopt($ch, CURLOPT_FAILONERROR, 1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER,1); // Returns result to a variable instead of echoing
curl_setopt($ch, CURLOPT_TIMEOUT, 30); // Sets a time limit for curl in seconds (do not set too low)
curl_setopt($ch, CURLOPT_POST, 1); // Set curl to send data using post
curl_setopt($ch, CURLOPT_POSTFIELDS, $req); // Add the request parameters to the post
$result = curl_exec($ch); // run the curl process (and return the result to $result
curl_close($ch);

// assign posted variables to local variables
$item_name = $_POST['item_name'];
$item_number = $_POST['item_number']; // Only if in a list of items
$item_quantity = $_POST['quantity'];
$payment_status = $_POST['payment_status'];
$payment_amount = $_POST['mc_gross'];
$payment_currency = $_POST['mc_currency'];
$txn_id = $_POST['txn_id'];
$receiver_email = $_POST['receiver_email'];
$payer_email = strtolower($_POST['payer_email']);


if (strcmp($result, "VERIFIED") == 0)
{
// check the payment_status is Completed
// check that txn_id has not been previously processed
// check that receiver_email is your Primary PayPal email
// check that payment_amount/payment_currency are correct
// process payment
if ($payment_status == "Completed")
{
if ($receiver_email == "my@email.com")
{
if ($payment_currency == "EUR")
{

// TODO: ...
}
}
}
}
else
{
// log for manual investigation
}

?>

[Gianluca]

Dalla comunicazione che hai ricevuto pare che se il test con la sandbox PayPal ha avuto successo non dovresti avere problemi in futuro:

L'esecuzione di test in ambiente Sandbox è uno dei modi migliori per accertarsi che le integrazioni funzionino. Gli endpoint di Sandbox sono stati aggiornati per accettare connessioni sicure dai Certificati SHA-256.

[usbsafeguard]

Il test in ambiete Sandbox è stato fatto più di 4 mesi fà, ma l'email ricevuta oggi mi lascia perplesso quando cita "Se non hai apportato le modifiche necessarie, ti preghiamo di farlo subito per evitare un'interruzione del servizio." Modifiche da apportare a codice php non ne parla ma menziona solo (su tutte le documentazioni linkate da PayPal) il certificato SHA-256 sul Server.

Riprovo ad eseguire il test in ambiente Sandbox come mi consigli di fare, x il momento grazie per l'interessamento.

[usbsafeguard]

Test eseguito con successo in data (oggi) 14/09/2015.

A quanto pare il certificato sul Server risulta 'up-to-date' da una settimana -come riportato sotto-
Spero di aver fatto cosa gradita a chi interessato all'argomento... sperando non vi siano disguidi tecnici dopo il 30/09/2015

Common Name : *.altervista.org
Alternative names (SANs) : *.altervista.org, altervista.org
Organization :
Organization Unit : GT16667648, See www.rapidssl.com/resources/cps (c)15, Domain Control Validated - RapidSSL(R)
Locality :
State :
Country :
Algorithm Type : sha256WithRSAEncryption
Key Size : 2048 bit
Valid From : September 07, 2015
Valid To : October 09, 2017
Serial Number : 6cbf0
Issuer : RapidSSL SHA256 CA - G3