Attention immédiate requise : mises à jour du service PayPal – certificat SHA-256

Posté le 17 septembre 2015 by

cadenasLes intégrations Paypal

Ce message, lorsqu’il est bien envoyé par Paypal, invite à contrôler l’intégration Paypal présente sur votre boutique. Il existe 3 types d’intégration:

  1. Intégration par bouton (lien) de paiement. Votre boutique n’est pas informée des paiements, vous devez vous fier aux informations de votre compte Paypal, l’email envoyé par Paypal doit être considéré comme une simple notification sans valeur de paiement.
  2. Intégration dite IPN, qui permet à votre boutique de recevoir les informations sur le paiement.
  3. Intégration dite API ou Webservice, qui permet à votre boutique de recevoir les informations sur le paiement.

Suis-je concerné par la vague d’alerte de mise à jour dite SHA 256 ?

Si vous utilisez l’intégration dite IPN ou API/Webservices, vous êtes potentiellement concernés. Tous les sites ne sont pas concernés, cela dépend davantage de votre hébergeur et du système d’exploitation qu’il utilise que de votre mode d’intégration. Le plus simple est de contacter votre hébergeur, en lui mentionnant ce lien.

Qu’est ce que cela change au niveau de l’intégration ? Rien. En revanche l’environnement dans lequel l’intégration s’exécute, et qui elle se connecte via HTTPS aux serveurs de Paypal, doit être à jour. Les vieux serveurs peuvent être concernés.

Les utilisateurs IPN sont concernés dès septembre 2015 car ils utilisent le endpoint « www.paypal.com », les utilisateurs de l’API « api.paypal.com » et variantes, seront concernés au premier semestre 2016 lorsque ce end point sera modifié.

La librairie openssl utilisée pour se connecter en https doit être à jour.

La commande suivante doit retourner à minima 0.9.8o+ (la version 0.9.8 est suffisante dans l’absolu mais peut nécessiter une configuration spécifique):

openssl version

vous pouvez également vérifier la présence d’un certificat G5 sur votre serveur Linux avec la commande suivante, c’est un bon indicateur, sans être une certitude (pour les versions comprises entre 0.9.8 et 0.9.8o+)

awk -v cmd=openssl x509 -noout -subject /BEGIN/{close(cmd)};{print | cmd} < /etc/ssl/certs/ca-certificates.crt | grep « G5« 

Que faire si cette commande ne retourne rien ?

  • Si vous le pouvez, mettez à jour votre stack ssl:

    apt-get update openssl

  • Contrôler directement votre intégration sur le endpoint de test qui vous a été transmis
  • A défaut, vous pouvez si vous utilisez IPN continuer d’utiliser votre version de SSL :
    • En changeant de point de terminaison d’interface, le fameux « Endpoint », pour ipnpb.paypal.com, vous gagnez ainsi quelques mois de sursis
    • En renonçant aux informations de suivi de commande, ce qui est une régression
  • Si vous utilisez l’interface API, vous avez encore un peu de sursis, une adresse de substitution sera peut-être alors proposée, mais il y a de bonnes chances pour que vos serveurs soient mis à jour d’ici là !

Pourquoi Paypal m’a fait peur pour rien ?

En utilisant le endpoint https://paypal.com, paypal utilise le même domaine que pour son site internet, et donc des certificats de sécurité communs. Les navigateurs des internautes deviennent de plus en plus stricts pour la sécurité de tous et vont progressivement rejeter les sites internet non mis à jour, d’où le dilemme pour Paypal.
La pile HTTPS étant un protocole technique et non applicatif, et compte tenu des volumétries en jeu, Paypal n’a pas la possibilité fonctionnelle d’enregistrer les certificats utilisés et de prévenir les seuls utilisateurs concernés.