Ecommerce: aggiornamento certificati SSL per utilizzo PayPal

Ecommerce: aggiornamento certificati SSL per utilizzo PayPal

A partire dal 30 settembre 2015, facendo seguito ai diversi annunci che si sono succeduti in questi mesi, PayPal attiverà un importante aggiornamento di sicurezza relativo ai suoi servizi.

Come si può leggere nella comunicazione ufficiale pubblicata sul devblog dall’azienda di Palo Alto, questo processo si è reso necessario “Per continuare ad assicurare il più alto livello di sicurezza a venditori, sviluppatori e consumatori”.

In particolare l’aggiornamento riguarderà i certificati SSL di tutti gli endpoint (web e API) e non sarà rinviabile da parte di merchant e developer se vorranno evitare qualunque tipo di disservizio legato alle procedure di pagamento, ai servizi IPN (Instant Payment Notifications) e altri servizi di connessione API.

PayPal ha tenuto a specificare i motivi alla base di questa decisione: “a causa di problematiche relative alla sicurezza dovute all’incredibile crescita della potenza di calcolo disponibile si stanno gradualmente abbandonando i certificati SSL a 1024 bit (G2) in favore dei certificati a 2048 bit (G5) e si stanno adottando algoritmi di cifratura più potenti per criptare le trasmissioni dati (SHA-2 in sostituzione di SHA-1)”.

In questo senso Chrome ha già pianificato di abbandonare SHA-1 entro la fine del 2015 e il supporto alla prima versione di SHA raggiungerà lo stadio “deprecated” entro la fine del 2016. Per questo motivo PayPal ha scelto di agire con largo anticipo con l’attivazione degli aggiornamenti in modo da garantire il miglior servizio a tutti i suoi utenti siano essi venditori, sviluppatori o utenti comuni.

PayPal identifica due categorie principali come quelle più a rischio a causa di questo aggiornamento: chi ancora non utilizza VeriSign G5 Root Trust Anchor e non dispone di hardware in grado di supportare l’algoritmo di cifratura SHA-2.

Per evitare interruzioni dei servizi i passi consigliati dall’azienda di Palo Alto sono i seguenti:

  1. chiedere all’host del sito web o all’amministratore del sistema di verificare che il VeriSign G5 Root Certificate sia incluso nell’archivio dei certificati radice utilizzato per la convalida. In caso di risposta affermativa non è necessario effettuare alcuna altra azione.
  2. Verificare i registri errori: qualora VeriSign G5 Root Certificate non sia stato scaricato in sostituzione del G2 potrebbero comparire messaggi di errore come:
    • – errore handshake SSL “No trusted certicate found”;
    • – codice risultato -31 “The certificate chain did not validate, no local certificate found”;
    • – codice risultato -8 “SSL connection failed”.
  3. Aggiornare il proprio software alla versione più recente in modo da supportare SHA-256.
  4. Installare VeriSign G5 Root Certificate all’interno del keystore (eventualmente chiedendo all’amministratore del sito di effettuare il download del certificato).
  5. Assicurarsi che l’ambiente utilizzato supporti SHA-256:
    • consultare le risorse online per conoscere gli hardware ed i software supportati;
    • sostituire le componenti non idonee prima di installare nuovi certificati.
  6. Verificare la corretta installazione di VeriSign G5 Root Certificate all’interno del keystore.

Vuoi assicurarti che il tuo certificato SSL sia in regola con le nuove linee guida di PayPal? Hai bisogno di eseguire un upgrade del tuo certificato SSL? Non esitare a contattare un nostro tecnico all’indirizzo email info@artera.it.