PayPal change en 2016 divers petites choses. Fin du SSL V3 au profit du TLS 1.2 (le support du TLS 1.0 sera retiré).
Pour en savoir plus, je vous laisse lire la suite de cet article.
PayPal vient de changer la dates limites concernant les mises à niveau de sécurité (01/06/2016) :
30 Juin 2017 :
- Mise à niveau vers TLS 1.2 et HTTP/1.1
- Mise à niveau HTTPS pour les envois IPN
- Abandon de la méthode GET pour les API SOAP/NVP classiques
- En savoir +
Tableau des modifications des dates de mise à jour de PayPal (01/06/2016) :
PayPal, ce qui change en 2016 :
17 Juin 2016 :
- TLS 1.2 sera la référence (le support du TLS 1.0 va prendre fin).
Il vous faudra OpenSSL 1.0.1 ou supérieur.
Pour vérifier la version du OpenSSL de votre serveur :
– En PHP : faite un phpinfo()
– En SSH tapez : openssl version
Exemple d’un openssl obsolète ci-dessous :
- Passé le 17/06/2016 toutes les connexions en TLS v1.0 et TLS v1.1 seront refusée.
- Sur OVH : explication pour passer en OpenSSL 1.0.1k / TLS1.2 (cliquez-ici).
- Ce qui va ajouter dans .ovhconfig à la racine de votre serveur :
app.engine=php
app.engine.version=5.6
http.firewall=none
environment=production
container.image=stable
- Ce qui va ajouter dans .ovhconfig à la racine de votre serveur :
- EN GROS : On passe tous au TLS 1.2 avant le 17 juin 2016.
- En savoir +
14 Avril 2016 :
- Adresse IP mise à jour pour SFTP Paypal.
- En savoir +
30 Septembre 2016 (BOOM Certificat SSL – HTTPS) :
- IPN pour « Instant Payment Notification » (ou « Notification instantanée de paiement »).
- HTTP/1.1
- HTTPS
- TLS 1.2
- 2048-bit, SHA-256 certificates signed with VeriSign’s G5 root
- On arrête le support du GET HTTP pour le POST NVP/SOAP (plus d’infos)
- Après le 17 Juin 2016 (sandbox) :
- api.sandbox.paypal.com
- api-3t.sandbox.paypal.com
- api-aa.sandbox.paypal.com
- api-aa-3t.sandbox.paypal.com
- Après le 30 Septembre 2016 (environnement de production) :
- api.paypal.com
- api-aa.paypal.com
- api-3t.paypal.com
- api-aa-3t.paypal.com
- Après le 17 Juin 2016 (sandbox) :
- EN GROS : l’IPN doit-être sur un retour en https (certificat SSL obligatoirement avant le 30/09/2016).
- En savoir +
Entre le 31 Janvier 2016 et le 1er Janvier 2018 :
- SHA-256 en 2048-bit expirant tous les 3 ans
- En savoir +
Pourquoi PayPal change en 2016 :
Qu’est-ce que Poodle ?
Poodle est le nom d’une nouvelle faille de sécurité Internet affectant SSL 3.0 (Secure Sockets Layer), un protocole conçu pour sécuriser les connexions Internet. L’exploitation de cette vulnérabilité permet aux cybercriminels d’accéder à des connexions censées être sécurisées par l’intermédiaire de ce protocole de sécurité particulièrement exploité, mais vieux de 15 ans.
Quelles sont les mesures prises par PayPal ?
Nous allons intégralement cesser notre prise en charge du SSL 3.0 le 3 décembre 2014. Nous sommes toutefois conscients qu’une telle décision peut engendrer des problèmes de compatibilité pour certains clients, les empêchant de payer avec PayPal sur les sites de marchands, entre autres conséquences. Pour évaluer votre situation et trouver une solution à vos éventuelles difficultés, nous avons créé ce Guide des mesures applicables aux marchands. Utilisez-le pour vérifier que votre intégration n’est pas menacée par cette vulnérabilité.
Sandbox Paypal (SSL 3.0 c’est terminé) :
A la date de l’écriture de cet article (04/03/2016), la Sandbox de Paypal (appelé aussi l’environnement de test) accessible à l’adresse https://developer.paypal.com a déjà désactivé le SSL 3.0
Vous aurez les erreurs suivantes en Sandbox si vous utilisez encore le SSL 3.0 :
- * Erreur protocole SSL inconnu, échec de la connexion sécurisée à api-3t.sandbox.paypal.com:-9824
- 140062736746144:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337:
Il faudra passer sur du TLS (Transport Layer Security).
Une question ?
- Vous pouvez me contacter par mail ou sur la page de contact.
Source :