paypal logo
undefined
  1. Prise en charge de SHA-256. Nous mettons à niveau les certificats SSL sur tous les points de terminaison en production et dans l'environnement de test, de SHA-1 à l'algorithme SHA-256 plus solide et plus fiable. Vous devez mettre à jour votre intégration pour prendre en charge les certificats utilisant SHA-256.
  2. Abandon du certificat racine VeriSign G2. Conformément aux normes du secteur, nous ne prendrons plus en compte les connexions sécurisées nécessitant le certificat racine VeriSign G2 pour la validation de confiance. Seules les demandes de connexion sécurisée pour lesquelles notre certificat ou chaîne de confiance doit être signé par le certificat racine G5 entraîneront des connexions sécurisées.

Pour en savoir plus sur ces changements, consultez le guide de mise à jour du système - Sécurité marchand (voir les versions traduites ci-dessous). Pour une introduction de base sur la sécurité Internet, nous vous recommandons également ces courtes vidéos sur les Certificats SSL et la Cryptographie des clés publiques.

REMARQUE : Ces mises à jour répondent à une mise à niveau globale du secteur et ne sont pas propres à PayPal. Elles permettront de sécuriser les échanges entre votre site et les interfaces de programmation (API).

Ce changement est effectif depuis le 18 octobre 2016.

REMARQUE : Le meilleur moyen de savoir si votre système répond déjà aux exigences à venir est de demander à votre développeur ou à l'administrateur du système de tester votre intégration dans l'environnement de test PayPal. Si le test échoue, cela signifie que vous devez vérifier toutes les informations suivantes et mettre à niveau votre système.

Points de terminaison de l'environnement de test - Déjà actifs

Les points de terminaison de l'environnement de test PayPal sont aux normes de sécurité les plus récentes, comme le seront les points de terminaison de production. Vous pouvez les utiliser pour vérifier que votre code prend bien en charge les normes exigées avant la mise à jour des points de terminaison de production. Ces points de terminaison sont passés aux nouveaux certificats SHA-256 de 2 048 bits :

Points de terminaison de production - Déjà actifs

Les points de terminaison de production suivants sont passés aux nouveaux certificats SHA-256 de 2 048 bits :

Pour en savoir plus sur ces changements, consultez le guide de mise à jour du système - Sécurité marchand (voir les versions traduites ci-dessous).

Qu'est devenu l'algorithme SHA-1 ?

Le CA/Browser Forum a décidé le 16 octobre 2014 d'abandonner SHA-1.

Puis-je mettre à jour la racine G5 et le certificat SHA-256 en même temps ?

Oui. Confirmez d'abord que le certificat racine VeriSign G5 se trouve dans votre keystore. Sinon, téléchargez-le puis ajoutez-le. Mettez ensuite à jour votre logiciel SSL pour traiter les certificats SHA-256.

Mes systèmes nécessitent l'installation des certificats dans le keystore. Où puis-je trouver les nouveaux certificats qui seront utilisés par PayPal ?

Vous trouverez ici les nouveaux certificats qui seront utilisés plus tard cette année, ainsi que les certificats de production actuels.

Comment savoir si mon intégration est concernée ?

Nous avons modifié les environnements de test avant la mise en production. Vous pouvez ainsi vérifier votre intégration dans l'environnement de test PayPal.

Si vous voyez ces messages d'erreur ou des messages similaires dans l'environnement de test, vous devez mettre à jour votre intégration avant la mise en production.

Dois-je mettre à jour mon kit de développement ?

Non. Cependant, il est conseillé de vérifier que vous utilisez bien la dernière version de votre kit de développement. Dans le cas contraire, suivez les instructions fournies pour le mettre à jour. Si vous n'utilisez pas de kit de développement PayPal, contactez directement votre fournisseur tiers pour obtenir de l'aide.

Bien qu'une mise à niveau du certificat ne soit pas nécessaire, elle peut l'être pour TLS 1.2. Pour en savoir plus, consultez le microsite TLS.

Comment renvoyer une notification instantanée de paiement qui a échoué lors de l'envoi pour validation ?

Vous pouvez renvoyer la notification depuis votre compte PayPal. Pour en savoir plus, consultez la section Resending IPN Messages sur developer.paypal.com. Remarque : la notification n'affichera pas la mention "Échec" puisque ces notifications ont bien été envoyées vers leur serveur. Toutefois, il s'agissait bien d'un échec lors de l'envoi pour validation.

Comment tester les IPN dans l'environnement de test ?

Accédez à la section IPN Testing sur developer.paypal.com, plus particulièrement à la section concernant l'environnement de test. Pour obtenir de l'aide, vous pouvez envoyer une demande sur la page Assistance technique PayPal. Concernant l'option Produit, veillez à sélectionner Modifications de sécurité (TLS/Certificat) en haut de la liste.

Pour obtenir de l'aide, rendez-vous sur https://www.paypal-techsupport.com.

2015 Merchant Security System Upgrade Guide(EUFrench).pdf

2015 Merchant Security System Upgrade Guide(FRCanada).pdf

2015 Merchant Security System Upgrade Guide(U.S.English).pdf


Rating: