В чем разница между этими двумя требованиями безопасности для Paypal IPN?
В чем разница между этими двумя требованиями безопасности для Paypal IPN, которые должны быть выполнены 30 июня 2018 года?
Обновление TLS 1.2 и HTTP / 1.1
https://www.paypal-notice.com/en/TLS-1.2-and-HTTP1.1-Upgrade/
To ensure the security of our systems and adhere to industry best practices, PayPal is updating its services to require TLS 1.2 for all HTTPS connections. At this time, PayPal will also require HTTP/1.1 for all connections.
Обратная передача подтверждения IPN на HTTPS
https://www.paypal-notice.com/en/IPN-Verification-Postback-to-HTTPS/
или же
https://www.paypal.com/sg/webapps/mpp/ipn-verification-https
The IPN message service requires that you acknowledge receipt of these messages and validate them. This process includes posting the messages back to PayPal for verification. In the past, PayPal has allowed the use of HTTP for these postbacks. For increased security going forward, only HTTPS will be allowed for postbacks to PayPal.
В чем разница между 1. и 2.?
В пункте 2 говорится, что HTTPS требуется для обратной передачи проверки IPN, а в пункте 1. также говорится, что HTTPS является обязательным (но не уточняется, предназначен ли он для обратной передачи IPN или нет?)
Есть ли две разные вещи, которые нужно обновить в нашем ipn.php, или это в основном одно и то же?
Примечание:
Этот, похоже, подтверждает, что по состоянию на июнь 2018 года еще не обязательно иметь HTTPS-вызов для IPN: передача URL-адреса http://example.com/ipn.php в Paypal (а не HTTPS) все еще в порядке:
At this time, there is no requirement for HTTPS on the outbound IPN call from PayPal to the merchant’s IPN listener.
Ответы 1
О HTTPS: HTTP - это протокол, используемый для взаимодействия с веб-службой, в настоящее время существуют версии 1.0, 1.1 и 2.0. Paypal просто заявляет, что они больше не поддерживают версию 1.0, которая является устаревшей (с 1996 года) и требует как минимум версии 1.1 (с 1999 года).
О TLS: TLS - это стандарт шифрования, используемый с HTTPS, и в настоящее время существуют версии 1.0, 1.1, 1.2 и 1.3. Они удаляют поддержку 1.0 и 1.1, потому что это необходимо для соответствия PCI-DSS (стандарт для безопасных платежей) - по этой причине все платежные системы переходят на TLS 1.2 этим летом. Это должно быть почти незаметное изменение, потому что все текущие браузеры и библиотеки поддерживают TLS 1.2.
Все это нацелено на их настоящий веб-сайт - https://www.paypal.com. Итак, все, что вы делаете с этим веб-сайтом, теперь имеет эти изменения - если вы использовали TLS 1.0 или 1.1, или если вы использовали HTTP 1.0, он больше не будет работать. Не должно быть много случаев, когда люди действительно полагались на TLS ниже 1.2 или где они специально использовали HTTP 1.0, но вы можете проверить, не уверены ли вы.
Второе утверждение просто означает, что вы больше не можете использовать HTTP без шифрования для проверки платежа, что снова является обращением к веб-сайту Paypals. То, что вы упомянули как «необязательный» для HTTPS, - это вызов Paypal к вашей веб-службе / веб-сайту (информирующий вас об этом платеже), однако вызов, который вы затем делаете для проверки, должен быть HTTPS. Я бы рекомендовал всегда использовать HTTPS для всего, и тогда вам не о чем беспокоиться.
Связанный вопрос: Почему tlstest.paypal.com работает из браузера, но не из моего кода PHP (полезно для Paypal IPN)?.