Mise à niveau vers TLS 1.2 et HTTP/1.1

PayPal met à niveau les protocoles utilisés pour sécuriser toutes les connexions externes à ses systèmes. La version 1.2 du Transport Layer Security (TLS 1.2) et la version 1.1 du Hypertext Transfer Protocol (HTTP/1.1) deviendront obligatoires pour les communications avec PayPal en 2017. Vous devez vérifier que votre environnement prend en charge TLS 1.2 et HTTP/1.1 et effectuer les mises à jour si nécessaire. Pour plus d'informations, cliquez ici.

Effectif depuis le 28 juin 2018

Abandon de la méthode GET pour les API classiques

PayPal ne prendra plus en charge l'utilisation de la méthode de requête HTTP GET pour les API SOAP/NVP classiques. Si vous utilisez actuellement l'une de ces API, vérifiez que vos requêtes API utilisent uniquement la méthode HTTP POST. Pour en savoir plus, cliquez ici.

Avant le juin 2018

HTTPS pour les envois de vérification IPN

Si vous utilisez le service de Notification instantanée de paiement (IPN) de PayPal, vous devez vous assurer que le protocole HTTPS est utilisé pour envoyer le message de vérification à PayPal. Les envois HTTP ne seront plus pris en charge.  Pour plus d'informations, cliquez ici.

Avant le juin 2018

Mise à niveau des identifiants des certificats d'API des marchands

Les identifiants des certificats d'API émis par PayPal pour l'utilisation avec l'API Classic sont mis à niveau vers les certificats SHA-256 2 048 bits SHA-256. Si vous vous connectez actuellement à PayPal à l'aide d'un identifiant de certificat d'API, vous devrez produire un nouveau certificat d'API à partir de vos Préférences de compte et l'utiliser pour toutes les demandes d'API. Pour plus d'informations, cliquez ici.

Agir d'ici septembre 2018 (en fonction de la date d'expiration de votre certificat)

Bonnes pratiques de sécurité

La sécurisation de votre intégration est un défi permanent et PayPal est là pour vous aider. Pour consulter les bonnes pratiques de sécurité, cliquez ici.

Éléments effectués

Mise à jour de l'adresse IP pour les serveurs FTP sécurisés

Si votre intégration est configurée pour échanger systématiquement des fichiers avec les serveurs FTP sécurisés de PayPal (Reporting/Batch), notez que les adresses IP pour ces serveurs ont été modifiées. Si votre intégration est codée en dur avec les adresses IP précédentes, vous devez effectuer une mise à niveau immédiatement pour éviter toute interruption de service. Pour plus d'informations, cliquez ici.

Effectif depuis le 12 mai 2016

Mise à niveau du certificat SSL

PayPal procède à la mise à niveau des certificats SSL utilisés pour sécuriser ses sites et points de terminaison API. Ces nouveaux certificats seront signés à l'aide de l'algorithme SHA-256 et du certificat racine G5 2 048 bits de VeriSign. Vous devez vérifier que votre environnement prend en charge l'utilisation de l'algorithme de signature SHA-256 et cesser d'utiliser les connexions SSL reposant sur le certificat racine VeriSign G2. Pour plus d'informations, cliquez ici.

Effectif depuis le 18 octobre 2016

Test de la mise à niveau de sécurité des marchands

Au cours des prochains mois, nous allons effectuer une série de tests dans le but d'émuler les nouveaux protocoles de sécurité indiqués sur ce site, afin que les marchands puissent identifier les domaines d'intégration qui nécessitent encore des modifications. Pour plus d'informations, cliquez ici.

Effectif depuis le 28 juin 2018