LimeSoda Blog ☰ Zeige Kategorien

PayPal Security Updates 2016-2017

PayPal führt ab 2016 einige Sicherheitsupdates durch. Die Änderungen betreffen alle Websites und Shops, die PayPal als Zahlungsmethode einsetzen.

Warum sich Website- und Shopbetreiber mit den Umstellungen beschäftigen müssen, erkläre ich in diesem Blogpost.

Umstellung 1: Upgrade der PayPal SSL-Zertifikate

PayPal erneuert dessen eigene SSL-Zertifikate für Websites und Zahlungsdienste-Zugangspunkte. Die bisher verwendeten Zertifikate verwenden einen nicht mehr zeitgemäßen Algorithmus (derzeit: SHA-1, neu: SHA-256). Deshalb ist es notwendig, dass alle Entwicklungs-, Test- und Live-Systeme auch diesen neuen Algorithmus (SHA-256) unterstützen, um auch nach der Umstellung bei PayPal am 17. Juni noch ordnungsgemäß zu funktionieren.

Woher weiß ich, ob ich betroffen bin?

Die Test- bzw. Sandbox-Systeme von PayPal wurden bereits umgestellt. Sofern die Zahlung mit PayPal mit der Sandbox noch funktioniert und ihr Testsystem gleich/ähnlich dem Live-System konfiguriert ist, sollten keine Probleme bei der Umstellung zu erwarten sein.

Haben Sie einen Hosting-Provider?

Wenn Ja: Vergewissern Sie sich bzw. fragen Sie nach, ob dieser SHA-256 und das G5 Root Zertifikat unterstützt.

Wenn Nein: Bitten Sie ihn, SHA-256 und das G5 Root Zertifikat einzurichten.

Eine Checkliste mit technischen Details, was man zur Vorbereitung auf die Umstellung überprüfen sollte, habe ich hier zusammengestellt.

Termin: 17. Juni 2016 Update: PayPal hat die Frist hier verlängert: „Handeln Sie jetzt, um Störungen zu vermeiden. Zwischen dem 17. Juni und dem 30. September 2016 werden Systemtests durchgeführt.“

 

Umstellung 2: Upgrade auf TLS 1.2 und HTTP/1.1

TLS und HTTP sind Protokolle zur Datenübertragung im Internet. Um die entsprechend hohen Sicherheitsstandard zu erfüllen, wird das Transport Layer Security Protokoll (TLS – vormals SSL) für alle HTTPS-Verbindungen eingeführt. Als Standard wird für alle Verbindungen dann auch HTTP/1.1 verlangt.

2017 stellt PayPal auf die Protokolle TLS 1.2 und HTTP/1.1 um. Auch hier ist es erforderlich, dass

Termin: 30. Juni 2017

 

Umstellung 3: Zahlungsbestätigungs-Endpunkt via HTTPS

Wenn die sofortige Zahlungsbestätigung von PayPal verwendet wird, muss die entsprechende URL Ihrer Website/Ihres Shops via HTTPS erreichbar sein. Zahlungsrückmeldungen an HTTP URLs werden nicht mehr unterstützt.

Termin: 30. Juni 2017

 

Umstellung 4: Umstellung der HTTP Methode der Datenübertragung

HTTP unterstützt verschiedene Methoden der Datenübertragung. Die bekanntesten/am weitest verbreiteten sind GET und POST. Ab 30. Juni 2017 werden von PayPal nur mehr Übertragungen via HTTP POST unterstützt.

Idealerweise kontrolliert man, ob da eingesetzte Modul für PayPal Zahlungen die Aktualisierung bereits vorgenommen hat und aktualisiert dieses. Bei selbst programmierten Lösungen muss das händisch korrigiert werden.

Termin: 30. Juni 2017

 

Umstellung 5: Upgrade der API-Zertifikatsberechtigungen für Händler

Diese Umstellung betrifft jene Händler, die ein API Zertifikat als Authentifzierungsmethode in für PayPal Zahlungen verwenden: In diesem Fall muss – je nach Ablaufdatum des Zertifikats bis 1. Jänner 2018 ein neues API-Zertifikat generiert werden.

Termin: 1. Jänner 2018 (je nach Ablaufdatum des Zertifikats)

Weitere Informationen

Technische Information: PayPal Sicherheitsfahrplan 2016-2017 für Händler oder natürlich bei LimeSoda.

 

Hinterlasse einen Fingerabdruck für die Ewigkeit: Ein Kommentar bei LimeSoda!

(*) Pflichtfeld

Bewirb dich bei uns!

LimeSoda.
Digitalagentur in Wien.

Bewirb dich jetzt!
Anna Völkl

Verpasse nicht den nächsten Blog-Post von Anna!

Jetzt zum LimeSoda-Newsletter anmelden