mise à jour de sécurité de Paypal : "IPN autorise HTTPS uniquement"

Parfait, merci bien - @+

Bonjour,

Tu peux activer l'environnement "stable" (celui qui a les mises à jour qui vont bien) via le manager.
çà se fait en 2 clics : https://www.ovh.com/fr/g2149.modifie...ebergement_web (choisis environnement stable)

Pour le HTTPS, si tu le veux, OVH a du t'activer lets encrypt gratuitement ou le fera d'ici quelques jours.

Bonjour,

Tu peux activer l'environnement "stable" via le manager.
çà se fait en 2 clic et c'est transparent : https://www.ovh.com/fr/g2149.modifie...ebergement_web (choisis environnement stable)

Bonjour

Simplissime question pour un usager lambda de mutualisé possédant un lien de paiement externe vers paypal (mon site n'est pas en https) ...

Dois-je tester quelque chose ? mettre à jour quelque chose sur mon hébergement ?

Merci d'avance pour l'aide

Fred

Merci pour cette rapidité, ça change du support API SMS

Bonjour,

Après avoir vérifier la documentation php, il semble qu'il y ai eu des changements d'implémentation entre php 5.5 et 5.6 pour fsockopen.
En 5.6 il vérifie l'intégrité des certificats, alors qu'il ne le faisait pas en version inférieur.

Nous avons modifié notre environement pour prendre en compte ce changement (ajout des certificats racine manquants).
La mise à jour est en test, elle sera totalement déployer dans 2 semaines.

Cdt,

pizzauno.fr

Quel est votre nom de domaine s'il-vous-plaît ?

Cordialement,

alors ce n'est pas si net que cela

en 5.6 stable ça ne fonctionne pas, j'ai du revenir en 5.5 stable !

pour être exact, voici mon test

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "https://tlstest.paypal.com/");
var_dump(curl_exec($ch));
var_dump(curl_error($ch));

$host = 'tlstest.paypal.com';
$header = "GET / HTTP/1.1\r\n";
$header .= "Host: $host:443\r\n";
$header .= "Connection: close\r\n\r\n";
$fp = fsockopen("ssl://$host", 443, $errno, $errstr);
echo "fp = $fp, errno=$errno, err=$errstr
";
if (!$fp) echo "connexion refused";

cela fonctionne en 5.5 mais en 5.6 j'ai

PayPal_Connection_OKbool(true) string(0) " fp = , errno=0, err= "
connexion refused

Bonjour tothpaul,

Tout est en production, néanmoins il faut configurer votre hébergement afin qu'il passe sur l'environnement d'exécution le plus récent (version stable):

https://www.ovh.com/fr/g2149.modifie...ebergement_web

Bonjour, ça ne semble pas être en production...

avec PHP Version 5.6.21 j'ai OpenSSL/0.9.8o, et donc impossible de se connecter sur https://tlstest.paypal.com/

Bonjour,

Il est possible d'utiliser la béta suivante : https://forum.ovh.com/showthread.php...ble-drupal8%29

Ceci doit rendre utilisable paypal, en utilisant le port 83 chez OVH. (le temps de la béta).

Si aucun bug relevé supplémentaire, cela sera mis en production cette semaine.

Cdt,

Je suis très interessé par le sujet. Y'a t'il des nouvelles concernant l'usage des hébergement mutualisé pour la mise en place des HTTPs compatible paypal ?

Bonjour,

As-t-on des news sur ce sujet car apparemment le pbm est toujours là, en tous cas sur le mutu pro qu'on utilise. On est obligé de dévalider Paypal comme moyen de paiement sur un site de e-commerce.

Et je ne comprends pas pourquoi c'est marqué "réglé" alors que rien dans le fil ne donne l'impression que c'est réglé ...

Bonjour à tous,

J'ai reçu le mail de Paypal comme tout le monde qui utilise le service IPN de PayPal.
La librairie OpenSSL 0.9.8 contenue dans les versions PHP 5.5, 5.6 et 7.0 ne permet pas actuellement de se connecter à la sandbox https://tlstest.paypal.com.
Par contre j'ai réussi à me connecter en PHP 5.6 et OpenSSL 1.0.1 avec mon PC de développement.
Une mise à jour OpenSSL est prévue chez OVH

Désolé pour ces répétitions ... mais les messages ont mis plusieurs jours pour apparaître sur le forum .

Bonjour,

J'utilise le service IPN de Paypal depuis 2012 et j'ai reçu comme vous un mail pour la mise à jour de sécurité.
Actuellement OVH utilise la librairie OpenSLL 0.9.8o pour tous les langages utilisés (PHP, etc..)
Or Paypal demande en 2016 TSL V1.2 ce qui impose OpenSSL 1.0.1 minimum.
J'ai contacté le SAV d'OVH qui m'a confirmé que la librairie ne correspondait pas aux exigences de Paypal 2016, mais sans me donner une date de mise à jour.
J'ai déjà essayé sans succès la "sandbox" de test "tlstest.paypal.com" avec PHP 5.5.
Par contre sur mon PC de développement qui possède PHP 5.5 et OpenSSL 1.0.1 la connexion est OK !!

Bonjour à tous,

Je suis chez OVH et j'utilise depuis 2012 le service Paypal (service IPN) en PHP.
J'ai reçu comme vous l'avis Paypal signifiant qu'en 2016 la politique de sécurité allait passer en SHA-256 soit TLS V1.2.
Ce qui implique en PHP la librairie OpenSSL 1.0.1 minimum.
Or chez OVH dans toutes les versions PHP 5.4, 5.5, 5.6, et 7.0 (en lançant phpinfo) on peut voir OpenSSL 0.9.8o,
ce qui ne permet pas de se connecter sur la sandbox temporaire tlstest.paypal.com.
J'ai contacté le SAV d'OVH qui m'a répondu :
Une mise à jour de la version Open SSL est prévue, toutefois je n'aurais pas
de visibilité sur la date à laquelle elle sera effectuée.
La balle est dans le camp d'OVH ....

Bonjour,

Le lien de check prouve juste que paypal à mis SON certificat à jour, cela n'impacte en rien les script du moment que les script ne vérifie pas l'ancien certificat de paypal (le G2).

Cf : https://www.paypal-knowledge.com/res...20English).pdf

Donc traduction FR pour ceux qui ne sont pas bon en anglais et qui on "peur", en gros paypal d'ici juin 2016 va commencer à forcer les utilisateurs à recevoir les notification IPN via HTTPS, et vu que c'est paypal qui envoie les notification depuis ces serveurs et donc sont certificat (qui sera/est signé via SHA-256 + le certificat racine G5 de VeriSign), donc tout les scripts/systèmes/application qui ne supporte pas l'algorithme SHA-256 et/ou n’ont pas le certificat racine G5 de VeriSign dans le "magasin" de certificat reconnu auront des problème avec leur IPN.

Normalement l'infrastructure mutualisé OVH (si y a pas des OS plus vieux que Debian6) est compatible (accepte la SHA-2/SHA-256 + présence du certificat G5 normalement).

Cordialement, janus57

Bonjour,
https://devblog.paypal.com/paypal-ss...icate-changes/
https://www.paypal-knowledge.com/inf...e&locale=en_US
https://www.sha2sslchecker.com/www.paypal.com
manque juste la page avec les dates pas retrouvé

Bonjour,

lien ou documentation paypal à l’appui ?

Car d'après les message du premier post c'est juste la communication qui doit être fait en SSL ce qui est présent et possible sur les mutu OVH.

Cordialement, janus57

je ne suis pas un specialiste mais quand je verifie le certificat ssl de mon site qui est en mutualise j'ai ça : sha1 G2 et paypal demande G5 sha2

Bonjour,

Donc il faudrait faire quoi ?

Bonjour, c'est un peu plus compliqué que ça et non un mutualisé ovh actuel ne passera pas la securité de paypal

merci pour ces éclaircissements. (si seulement paypal pouvait être aussi clair dans ses explications)

Concrètement, je pense qu'au lieu d'utiliser quelque chose comme ça :
$fp = fsockopen('www.paypal.com', 80, $errno, $errstr, 30);

il faudra faire ça :
$fp = fsockopen('tls://www.paypal.com', 443, $errno, $errstr, 30);

Ce qui doit d'ailleurs sans doute être déjà le cas.


https://developer.paypal.com/docs/classic/ipn/gs_IPN/

Bonjour,

cela veux juste dire que vous allez être obligé à communiquer avec eux en HTTPS ce qui est possible avec tous les mutualisés OVH (normalement).

Cordialement, janus57

Bonjour à tous,

Certains d'entre vous ont certainement reçu un mail de Paypal intitulé "Mises à jour de sécurité à venir", dans lequel on nous explique un certain nombre de mises à jour de sécurité prévues pour 2016.

Dans le mail on peut lire, qu'a partir de septembre 2016 :
"Les envois IPN sur www.paypal.com autoriseront uniquement HTTPS"
et
"Si vous utilisez le service de Notification instantanée de paiement (IPN) de PayPal, vous devez vous assurer que le protocole HTTPS est utilisé pour envoyer le message de vérification à PayPal. Les envois HTTP ne seront plus pris en charge."

Je ne sais pas si j'ai bien compris ce que ca signifie concrètement. Faudra t-il prendre un hébergement sécurisé https, spécialement pour traiter les envois IPN ?

Si quelqu'un pouvait m éclairer?
Merci d'avance.