如何判断我的贝宝证书是否为 SHA-256？ - 贝宝服务升级答案

【问题标题】：How can I tell if my paypal certificate is SHA-256? - PayPal service upgrades如何判断我的贝宝证书是否为 SHA-256？ - 贝宝服务升级
【发布时间】：2015-12-13 01:39:42
【问题描述】：

我使用 IPN 端点并且收到了来自 paypal 的电子邮件，说 PayPal 正在将 www.paypal.com 的证书升级到 SHA-256。

我只是想确保我的证书能够继续工作。

我已尝试检查 https://shaaaaaaaaaaaaa.com、https://shachecker.com、www.sslshopper.com/ssl-checker.html 但没有人会检查它（我假设它们都需要一个 https 站点，我的不是？）。

我已经尝试通过沙盒进行交易，效果很好。

我在我的 ubuntu 服务器上运行了openssl s_client -connect www.sandbox.paypal.com:443 -showcerts -CApath /etc/ssl/certs/，看到很多以Verify return code: 0 (ok) 结尾的信息，然后它就挂了。这是否意味着有问题？我在这些信息中寻找什么？

（如果我对 www.paypal.com 运行相同的操作，它会在 Verify 行暂停，然后显示 closed）

【问题讨论】：

Stack Overflow 是一个编程和开发问题的网站。这个问题似乎离题了，因为它与编程或开发无关。请参阅帮助中心的What topics can I ask about here。也许Super User 或Unix & Linux Stack Exchange 会是一个更好的提问地方。另见Where do I post questions about Dev Ops?。
这是贝宝开发者页面带你的地方。它说访问 StackOverflow 以查看我们的 PayPal 论坛，其中包含指向 stackoverflow.com/questions/tagged/paypal 的链接。我觉得这有点奇怪，但看不到任何替代方案！

标签： paypal openssl ssl-certificate paypal-ipn

【解决方案1】：

以下是证书升级的详细信息：
Merchant Response Guide
Certificate FAQ
这来自商家响应指南：

我们的回应： 按照行业标准，PayPal将不再接受安全与期望我们的证书/信任链由 G2 根证书签署的 API/IPN 端点的连接。仅有的期望我们的证书/信任链由 G5 根证书签名的安全连接请求将导致成功的安全连接。

这是通过 Linux 检查您的证书的方法。这来自 GitHub：
How to Check All Certificates through Linux

#!/bin/bash

echo "All certificates in ca-certificates.crt, listed by subject:"
awk -v cmd='openssl x509 -noout -subject' '/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt

echo "All certificates in ca-certificates.crt, listed by subject, check for presence of VeriSign's 'Class 3 Public Primary - G5':"
awk -v cmd='openssl x509 -noout -subject' '/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep "G5"

【讨论】：

谢谢。对 awk 的回复是 subject= /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5 这是否意味着它可以？
是的，G5 - 是受信任的证书。如果这是您正在使用的，那么您就是合规的。