SHA-256 证书的 PayPal 更改

Question

我收到了来自 PayPal 的电子邮件，内容是他们在支持 SHA-256 证书方面所做的更改，并警告我可能需要更新我网站上的内容。

我使用 PayPal 的 IPN 服务，该服务最初是在我的网站上设置的（我编写的所有自定义 PHP 代码，没有预先构建的购物车），并且自 2008 年以来一直运行良好。

我的主机是共享主机，因为它不是一个非常大或繁忙的网站。我们运行 PHP 5.2.17、Apache 2.2.3 (CentOS) 和 OpenSSL 0.9.8e-fips-rhel5 的托管平台 2008 年 7 月 1 日（我从 PHP 的 phpinfo() 函数中获得了所有这些信息）。

由于我无法更新服务器上的任何软件，因此我认为需要进行的任何更改都必须由我的虚拟主机进行，这是否正确？

当我最初在 2008 年设置所有内容时，我记得从 PayPal 下载证书并在我的 Windows PC 上使用 OpenSSL 创建一些东西（另一个证书？我不知道），然后我将其上传到我的网站并用于加密我对 PayPal 的付款请求。 PayPal 带来的 SHA-256 更改是否会影响这一点？我需要重新制作证书吗？

我确实尝试过使用 IPN 模拟器（在更改了我的 IPN 处理程序使用的端点之后），但我无法让它工作，因为 IPN 模拟器给了我一个 502 Bad Gateway 错误，我不知道是什么这意味着或可能是什么问题。

Answer 1

即使您的网站没有使用 HTTPS，您仍然需要检查与此升级的证书兼容性。

当您的 IPN 脚本收到 PayPal 消息并将其 POST 回 PayPal 进行验证时，此服务器到服务器的连接必须受到保护，因为 PayPal 的 IPN 端点使用 HTTPS，这意味着您的网络服务器上的默认密钥库/信任库应包含SHA-2 兼容证书来建立 SSL 握手。

OpenSSL 0.9.8 默认支持 SHA-2，但仍然值得通过简单地将 IPN 脚本端点从 www.paypal.com 指向 www.sandbox.paypal.com 来检查您的服务器兼容性（因为沙盒环境已经完成了 SHA-2 升级)，然后向您的听众发送一条 IPN POST 消息（使用 IPN 模拟器）

或 SSH 到您的服务器并运行命令：

openssl s_client -connect www.sandbox.paypal.com:443 -showcerts -CApath /etc/ssl/certs/