PAYPAL sicurezza 2016: Certificato SHA-256 + TLS 1.2 e HTTP/1.1

Buongiorno,
oggi PayPal mi ha inviato una email dove chiede a tutti i venditori di aggiornare :

• Certificato SSL a SHA-256

• TLS 1.2 e HTTP/1.1

• ecc...

Per questi 2 Aggiornamenti (SHA-256 + TLS 1.2 e HTTP/1.1), come e cosa dobbiamo fare qui su altervista ?

Grazie in anticipo

Ps: ho letto le guide sul sito PayPal ma, non essendo un esperto, non so nemmeno dove trovare questi parametri.

[karl94]

Puoi riportare per intero il contenuto della comunicazione (omettendo ovviamente eventuali informazioni riservate)?

Ciao a tutti,

Mi chiamo Simone e sono nuovo sul forum (un nuovo utente di altervista).

Scusate che mi intrometto nella conversazione ma ho riscontrato lo stesso problema.

Ecco la mail che ho scritto allo staff ma mi è stato consigliato di scrivere qui sul forum e ho pensato di continuare questo post.

Vi scrivo in quanto avrei riscontrato un problema nel tentativo di contattare il servizio di pagamento di PayPal con il metodo "SetExpressCheckOut".

Tentando di contattare il servizio (passando i vari parametri richiesti) tramite la libreria cURL (che ho visto che sul webserver è abilitata), ho ottenuto un errore (qui di seguito):

curl errors
int(35) string(80) "error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure" bool(false) Response from PayPal received:
In 5 seconds you will be redirected to PayPal to enter your credentials.

Leggendo su alcuni forum (ad es. stackoverflow) sembra che in molti altri abbiano riscontrato lo stesso problema (su altri webserver) ma piu o meno tutti sembrano essere correlati al fatto che PayPal sta chiedendo l'uso del protocollo TLS con upgrade alla versione 1.2.

Ho verificato tramite uno script e ho notato che sul server è presente: TLS 1.0 e
OpenSSL/0.9.8b.

Dal sito di PayPal sembra che sia richiesto l'upgrade alla versione TLS V. 1.2 per poter funzionare ed essere chiamato il servizio (come puoi vedere in questa comunicazione di PayPal: https://devblog.paypal.com/upcoming-...hanges-notice/)

Ritieni sia davvero dovuto alla necessità di fare l'upgrade del protocollo o potrebbe essere dovuto a qualche altro motivo?

Potresti aiutarmi in qualche modo a risolvere il problema o suggerire una qualche soluzione?

Avrei bisogno di far funzionare la mia pagina dove è presente un modulo che deve contattare PayPal per testare il metodo di pagamento.

Nel caso avessi bisogno di ulteriori informazioni (ad esempio codice, ecc..), dimmi pure.

Grazie mille in anticipo e ti auguro buona serata :)
Ciao,
Simone

[ITATOURNAMENT]

SCUSATE ,salve a tutti , se sono in una discussione diversa da quello che vi chiedo è perchè non ho trovato la sezione giusta per chiedere aiuto , il mio problema è che avevo creato un altersito per un gioco on line di gruppo, poi ho pensato di cancellare tutto e iniziare ad usare altervista per provare a guadagnare qualcosina , ma ho visto che quando guardo su verifica sito , il mio sito ha una dicitura che riguarda il gioco che facevo prima , che non ha niente a che fare con quello che vorrei vendere , come posso eliminare le vecchie diciture che compaiono sul broswer con quelle nuove che rispecchiano il mio sito di adesso ? Grazie in anticipo , vi prego aiutatemi.

[karl94]

Ritieni sia davvero dovuto alla necessità di fare l'upgrade del protocollo o potrebbe essere dovuto a qualche altro motivo?
Potresti aiutarmi in qualche modo a risolvere il problema o suggerire una qualche soluzione?
Avrei bisogno di far funzionare la mia pagina dove è presente un modulo che deve contattare PayPal per testare il metodo di pagamento.

È previsto in futuro l'aggiornamento a versioni più recenti che risolveranno il problema, ma purtroppo non ci sono tempistiche in merito.

SCUSATE ,salve a tutti , se sono in una discussione diversa da quello che vi chiedo è perchè non ho trovato la sezione giusta per chiedere aiuto , il mio problema è che avevo creato un altersito per un gioco on line di gruppo, poi ho pensato di cancellare tutto e iniziare ad usare altervista per provare a guadagnare qualcosina , ma ho visto che quando guardo su verifica sito , il mio sito ha una dicitura che riguarda il gioco che facevo prima , che non ha niente a che fare con quello che vorrei vendere , come posso eliminare le vecchie diciture che compaiono sul broswer con quelle nuove che rispecchiano il mio sito di adesso ? Grazie in anticipo , vi prego aiutatemi.

Prova a vuotare la cache del browser, se non risolvi apri una nuova discussione. Questa non c'entra nulla col tuo problema.

Ciao Karl94,

Grazie mille per la tua risposta.

Dunque per il momento sono bloccato per andare avanti a sviluppare il mio test.

Spero che l'upgrade avvenga il piu' presto possibile siccome il servizio di PayPal potrebbe essere utile a diversi utenti che desiderano monetizzare il loro sito.

Grazie ancora.

Ciao,
Simone

[saitfainder]

Paypal ha annunciato un aggiornamento del proprio certificato per metà Giugno e sicuramente per quella data avremo aggiornato le librerie necessarie a mantenere la compatibilità. Nel frattempo ha già aggiornato gli endpoint della Sandbox ed è questo che sta creando il problema. Siamo comunque già al lavoro, ma è possibile che ci voglia qualche settimana.

[karl94]

TestModule, Tappedapp: potete verificare se adesso il problema persiste?

PayPal chiede queste modifiche :
https://www.paypal-knowledge.com/inf...ewlocale=it_IT

https://www.paypal-knowledge.com/inf...ewlocale=it_IT

Puoi riportare per intero il contenuto della comunicazione (omettendo ovviamente eventuali informazioni riservate)?

Aggiornamenti sulla sicurezza 2016.

X,

di recente abbiamo annunciato alcuni aggiornamenti degli standard di sicurezza richiesti nel 2016, alcuni dei quali richiedono modifiche alla tua integrazione di PayPal. Hai ricevuto questa email perché la tua integrazione potrebbe richiedere alcune modifiche.

Il contenuto di questa email è di natura molto tecnica. Ti invitiamo a contattare i responsabili della tua integrazione PayPal o i tuoi fornitori (ad esempio, il fornitore del carrello) che potranno aiutarti ad apportare le modifiche indicate qui e nel microsito Standard di Sicurezza 2016.

Cosa devi fare? Di seguito sono riportati i passaggi da intraprendere per aggiornare la tua integrazione. Ti rendiamo note queste modifiche prima che diventino effettive per evitarti interruzioni dei servizi.

1: Consulta un esperto di integrazione. Ti invitiamo a contattare coloro che hanno configurato la tua integrazione, ad esempio un consulente o il fornitore del carrello. Potresti anche aver bisogno di qualcuno che ti assista nelle modifiche all’integrazione.

2: Comprendi le ripercussioni di queste modifiche sull’integrazione. Secondo i nostri dati, vi sono aree della tua integrazione che richiedono la tua attenzione. Non è una lista completa, ma indica le modifiche che riteniamo tu debba apportare per essere pronto agli aggiornamenti degli standard di sicurezza.

La presenza di un “Sì” indica che devi apportare modifiche.
La presenza di un “No” indica che sei già conforme o che non usi quella determinata funzione.
Ricorda che le informazioni fornite nella presente email potrebbero non riportare tutte le modifiche richieste. Valuta la tua integrazione facendo attenzione a quanto riportato di seguito:

Modifica / Devo apportare una modifica?

Aggiornamento Certificato SSL a SHA-256 Sì
Aggiornamento TLS 1.2 e HTTP/1.1 Sì
Procedura di verifica IPN - Postback tramite HTTPS No
Aggiornamento indirizzo IP per i Server FTP Secure di PayPal No
Aggiornamento credenziali del certificato API del commerciante No
Interruzione utilizzo Metodo GET per API NVP/SOAP classiche No
3: Ottieni i dettagli tecnici delle modifiche. I dettagli di ciascuna modifica e quelli per testare la tua integrazione sono disponibili sul microsito Standard di Sicurezza 2016. Per maggiori informazioni su specifici eventi di modifica, seleziona i link riportati nella pagina.

4: Apporta le modifiche necessarie entro la data di entrata in vigore*. È importante che le tue modifiche risultino completate entro la data di entrata in vigore per ciascuna modifica riportata nel suddetto microsito.

5: Ottimizza la tua integrazione. Ti invitiamo a visitare la sezione "Best Practice sulla sicurezza” nel microsito Standard di Sicurezza 2016.

Perché PayPal introduce queste modifiche?

La protezione dei dati dei nostri utenti è la nostra priorità assoluta. Per perseguire questo obbiettivo, ci atteniamo agli standard internazionali di settore, ad esempio, il mandato di aggiornamento dei certificati SSL a SHA-256 riguardo alla crittografia e il mandato TLS 1.2 del Payment Card Industry (PCI) Council. Cerchiamo, inoltre, di andare anche oltre questi standard, investendo e sviluppando i nostri sistemi di protezione dati, tra i migliori reperibili attualmente. Rendendo note le modifiche previste quest'anno, intendiamo aiutarti a ottimizzare la tua integrazione e a ridurre gli investimenti per apportare le modifiche necessarie.

Per maggiori informazioni visita il nostro Centro Aiuto cliccando Aiuto in qualsiasi pagina PayPal. Se richiedi ulteriore assistenza, contattaci al numero 0800 979 424.

*Le date degli aggiornamenti previsti riportate nella presente email e sul microsito "Standard di sicurezza nel 2016" (tra cui la “data di entrata in vigore“) sono soggette a modifiche. Ti informeremo in caso di eventuali cambiamenti.

TestModule, Tappedapp: potete verificare se adesso il problema persiste?

Ciao Karl94,

Scusami per il ritardo nella risposta, non avevo visto l'aggiornamento.

Ho provato e confermo che ora la libreria curl (di PHP) contatta correttamente il web server di PayPal passandogli i parametri corretti.

Purtroppo c'è ancora un errore nel post back da PayPal alla risposta del web server ma penso che questo sia un problema legato all'integrazione/implementazione della mia pagina...sto indagando.

Per il momento penso che da parte vostra sia tutto a posto, nel caso riscontrassi ulteriori problemi vi informo.

Grazie mille,
Simone

[karl94]

TestModule: grazie per il riscontro.


Tappedapp: tu hai individuato problemi?

[radiodelmomento]

Riesumo visto che la discussione è relativamente recente.
Neanche io riesco ad integrare PayPal ottenendo l'errore "14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure when processing IPN data".
Visto che le librerie sono state aggiornate, penso sia un errore mio.
A cosa può essere dovuto?

Codice PHP:

$ch = curl_init('https://www.sandbox.paypal.com/cgi-bin/webscr');
curl_setopt($ch, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_1);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $req);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 1);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);
curl_setopt($ch, CURLOPT_FORBID_REUSE, 1);
curl_setopt($ch, CURLOPT_HTTPHEADER, array('Connection: Close'));


Grazie.

[karl94]

Radiodelmomento: effettua l'aggiornamento a MySQL 5.6 dalla sezione Database del pannello di controllo di AlterVista, in questo modo avrai a disposizione anche le librerie aggiornate.

[radiodelmomento]

Grazie, ho pianificato l'aggiornamento.

[tektag]

Buongiorno, ho visto che questo e' un topic molto vecchio, alcuni di voi hanno risolto ma non io, sto cercando di fare funzionare uno script (ipn.php) paypal per le donazioni e ottengo sempre lo stesso errore "EXCEPTION (cURL error: [35] error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure)", mi potreste aiutare a capire meglio per cortesia?.

Versioni sul sito

PHP 5.4.40
MySQL: 5.6
OpenSSL/1.0.1e

Grazie