paypal logo
undefined
  1. Unterstützung von SHA-256 erforderlich. Upgrade der PayPal-SSL-Zertifikate: Bei sämtlichen Live- und Sandbox-Endpunkten wird der Standard SHA-1 vom stärkeren und robusteren Algorithmus SHA-256 abgelöst. Sie müssen Ihre Integration aktualisieren, um künftig Zertifikate mit SHA-256 zu unterstützen.
  2. VeriSign G2-Root-Zertifikat nicht mehr verwenden. In Übereinstimmung mit den Branchenstandards wird PayPal keine sicheren Verbindungen mehr akzeptieren, die zur Validierung das VeriSign G2-Root-Zertifikat brauchen. Künftig akzeptieren wir nur noch Verbindungsanfragen, die verlangen, dass unser Zertifikat/unsere Vertrauenskette mit dem G5-Root-Zertifikat signiert ist.

Ausführliche Informationen zu diesen Änderungen finden Sie im Händlerleitfaden zum Systemupgrade (die deutsche Fassung finden Sie weiter unten im Anhang). Zu Grundlagen der Internet-Sicherheit empfehlen wir auch folgende kurzen Videos zu SSL-Zertifikaten und Public Key-Kryptographie.

Hinweis: Diese Änderungen sind nicht PayPal-spezifisch, sondern werden im Zusammenhang mit einem branchenweiten Sicherheitsupgrade vorgenommen. Sie werden die Kommunikation Ihrer Website mit der PayPal-Website und unseren Application Programming Interfaces (APIs) sicherer machen.

Diese Änderung wurde am 18. Oktober 2016 abgeschlossen.

Hinweis: Um eindeutig festzustellen, ob Ihr System die neuen Anforderungen bereits erfüllt, lassen Sie Ihren Netzwerkentwickler oder Systemadministrator Ihre Integration in der PayPal-Sandbox testen. Sollte der Test in der Sandbox fehlschlagen, lesen Sie die folgenden Informationen sorgfältig durch und führen Sie die entsprechenden Upgrades für Ihr System aus.

Sandbox-Endpunkte – Ab sofort

Die PayPal Sandbox-Endpunkte wurden nach den neuesten Sicherheitsstandards konfiguriert, die künftig auch von den Produktions-Endpunkten übernommen werden. Sie können diese Endpunkte verwenden, um vor dem Update der Produktions-Endpunkte sicherzustellen, dass Ihr Code die erforderlichen Standards unterstützt. Diese Endpunkte wurden auf die neuen SHA-256 2048-Bit-Zertifikate hochgestuft:

Produktions-Endpunkte – ab sofort

Folgende Produktions-Endpunkte wurden auf die neuen SHA-256 2048-Bit-Zertifikate hochgestuft:

Ausführliche Informationen zu diesen Änderungen finden Sie im Händlerleitfaden zum Systemupgrade (die deutsche Fassung finden Sie weiter unten im Anhang).

Was passiert mit SHA-1?

Die Entscheidung, SHA-1 nicht weiter zu verwenden, hat das CA/Browser Forum am 16. Oktober 2014 getroffen.

Kann ich das G5-Root-Zertifikat und das SHA-256-Zertifikat gleichzeitig aktualisieren?

Ja. Überprüfen Sie zunächst, dass das VeriSign G5-Root-Zertifikat in Ihrem Keystore liegt. Andernfalls laden Sie es herunter und fügen Sie es hinzu. Dann aktualisieren Sie Ihre SSL-Software, damit sie SHA-256-Zertifikate verarbeiten kann.

Meine Systeme erfordern, dass Zertifikate im Keystore installiert werden. Wo kann ich die neuen PayPal-Zertifikate erhalten?

Die neuen Zertifikate werden im Laufe des Jahres hier zusammen mit den aktuellen Produktions-Zertifikaten zur Verfügung gestellt.

Wie erfahre ich, ob meine Integration betroffen ist?

Vor den bevorstehenden Live-Änderungen haben wir Änderungen an den Sandbox-Umgebungen vorgenommen, damit Sie Ihre Integration in der Sandbox verifizieren können.

Wenn Sie diese oder ähnliche Fehlermeldungen in der Sandbox-Umgebung erhalten, müssen Sie Ihre Integration aktualisieren, bevor wir Änderungen an unserer Live-Umgebung vornehmen:

Muss ich mein SDK aktualisieren?

Nein, allerdings sollten Sie überprüfen, ob Sie die neueste Version Ihres SDK verwenden. Wenn nicht, folgen Sie den angegebenen Anweisungen, um Ihr SDK zu aktualisieren. Wenn Sie kein PayPal-SDK nutzen, wenden Sie sich an Ihren externen Dienstleister und bitten Sie um Support.

Wie kann ich eine sofortige Zahlungsbestätigung (IPN), die bei der Postback-Validierung fehlgeschlagen ist, erneut senden?

Sie können die sofortige Zahlungsbestätigung erneut von Ihrem PayPal-Konto senden. Nähere Informationen finden Sie unter Resending IPN Messages auf developer.paypal.com. Hinweis: Die sofortige Zahlungsbestätigung wird nicht als fehlgeschlagen ("Fail") angezeigt, da solche IPNs erfolgreich an ihren Server übermittelt wurden; allerdings konnten sie im Zuge des Postback nicht validiert werden.

Wie teste ich die sofortige Zahlungsbestätigung (IPN) in der Sandbox-Umgebung?

Informationen hierzu finden unter IPN Testing auf developer.paypal.com im Abschnitt "Sandbox testing". Wenn Sie weitere Hilfe brauchen, wenden Sie sich an den Technischen Support von PayPal. Wählen Sie unter "Produkt" "Security Changes (TLS/Certificate)" aus.

Weitere Informationen erhalten Sie unter https://www.paypal-techsupport.com.

2015 Merchant Security System Upgrade Guide(German).pdf

2015 Merchant Security System Upgrade Guide(U.S.English).pdf


Rating: