Corsi on-line

PayPal: no ai pagamenti senza SHA-256

A partire da oggi (17 giugno 2016), chi gestisce un sito Web o un negozio per il commercio elettronico nel quale i pagamenti vengono effettuati tramite PayPal dovrà assicurarsi che i sistemi ospitanti siano compatibili con l’algoritmo SHA-256; il funzionamento di questo algoritmo è praticamente lo stesso di rispetto a quello di SHA-1, ma la sua impronta digitale è nettamente più lunga (256 bit contro 160), la migrazione verso di esso dovrebbe quindi garantire una maggiore sicurezza.

PayPalSHA-1 è stato per lungo tempo l’algoritmo predefinito per le connessioni sicure e i certificati SSL, parliamo però di uno standard risalente al 1995 che presto verrà pensionato. A partire dal 1° gennaio 2017 i certificati SSL basati su SHA-1 non verranno più considerati validi e il passaggio a SHA256 sarà di fatto obbligatorio. In vista di questa scadenza PayPal sta conducendo dei test per la migrazione dei suoi endpoint alla versione più recente; entro il 30 settembre 2016 la piattaforma lavorerà soltanto con sistemi compatibili con quest’ultima.

Per via dei test in atto, ai sistemi non compatibili con SHA-256 potrebbe non essere consentito di accettare pagamenti con PayPal anche nel periodo compreso tra il 17 giugno e il 29 settembre 2016. Lo scopo dei test è infatti quello di identificare i clienti che saranno interessati dal passaggio definitivo a SHA-256. Tali utenti verranno informati immediatamente in modo che possano prepararsi alla transizione definitiva fissata per il 30 settembre.

Per coloro i cui sistemi non sono attualmente compatibili conSHA-256 sarà possibile reperire maggiori informazioni sulle modifiche richieste e sulle procedure per renderle effettive tramite le pagine dedicate agli standard di sicurezza 2016-2017 presenti sul sito di PayPal; la società ha inoltre pubblicato un elenco completo delle date e degli orari dei test consultabile tramite un apposito calendario.

PayPal sta aggiornando i certificati SSL su tutti gli endpoint Live e Sandbox, contestualmente è stato previsto di interrompere l’utilizzo del Root Certificate G2 VeriSign per il quale non saranno più garantite connessioni sicure per la convalida dell’attendibilità. Stabiliranno invece connessioni sicure soltanto le richieste che necessitano della convalida del certificato o della catena di attendibilità con il Root Certificate G5.

Per stabilire se il proprio sistema supporta già l’aggiornamento stabilito è possibile eseguire test d’integrazione tramite il servizio Sandbox di PayPal. Il verificarsi di un malfunzionamento durante il test su Sandbox dovrebbe indicare che l’ambiente del sistema in uso richiede un upgrade.

Post correlati
I più letti del mese
Tematiche