「PayPalのセキュリティアップグレードに関する重要なお知らせ」や管理画面に表示される「ペイパルの実装環境の変更が必要」について
今回、PayPalのセキュリティ環境がアップグレードされることに伴って、PayPalからメールや管理画面で案内が行われています。
ただ、技術的な要素が大きいので、「結局、何をすればいいのかわからない」というお問い合わせもいただいています。
そこで、ポイントを絞って、対応しないとどうなるのか、対応するにはどうすればいいのか、という点についてお話したいと思います。
まず、今回の、「PayPalのセキュリティアップグレード」で影響を受ける方は、ペイパル決済ツールと呼ばれる、プログラムを利用している方になります。
ペイパル決済ツールには、一般販売されているものもありますし、プログラマーさんに個別に発注して製作したものも含まれます。
それでは、一つ一つの項目について、誰が何をすればいいのか、について簡単に説明したいと思います。
1、SSL証明書のアップグレード
サーバーに組み込まれているSSL証明書を、SHA-256に対応したものにする必要があります。
対応しない場合、ペイパルのAPIに接続できなくなります。
これは、サーバーを構築した方が対応する必要があり、一般のレンタルサーバーを使用している場合は、サーバー会社が対応します。
VPSや専用サーバーの場合は、ユーザー側がサーバー環境を構築していますので、ユーザーが対応する必要があります。
追記 2017/2/19
SSL証明書をSHA-256に対応させるにあたり、多くの場合、使用しているドメインをSSL化する必要はありません。
多くの場合、サーバーを構築する際、あらかじめSSLの仕組みを組み込んでおり、この仕組みがSHA-256に対応していれば大丈夫です。
ペイパルは、使用しているドメインがSSL化されていることをチェックするわけではありません。サーバーに、SHA-256に対応した仕組みが組み込まれているかチェックをしています。
対応期限 2016年6月17日
2、TLS1.2およびHTTP/1.1のアップグレード
これは、実は内容が2つに分かれています。
ひとつは、サーバー環境が、TLS1.2に対応すること。
もうひとつは、ペイパル決済ツールプログラムが、TLS1.2、HTTP/1.1での通信に対応すること。
対応しない場合、ペイパルのAPIに接続できなくなります。
TLS1.2への対応は、まず、サーバーを構築した方が対応する必要があり、一般のレンタルサーバーを使用している場合は、サーバー会社が対応します。
VPSや専用サーバーの場合は、ユーザー側がサーバー環境を構築していますので、ユーザーが対応する必要があります。
次に、ペイパル決済ツールプログラムで、TLS1.2、HTTP/1.1での通信に対応する必要があります。
対応期限 2017年6月30日
3、HTTPSへのIPN認証へのポストバック
ペイパルからIPNを受信した際、決済プログラムが、ペイパルにポストバックする際、ペイパルから指定されたHTTPSのURLに送信する必要があります。
対応しない場合、ペイパルから受け取ったIPN情報に不具合が含まれていないか、の確認ができなくなります。
これは、ペイパル決済ツールプログラムで対応する必要があります。
対応期限 2017年6月30日
4、Classic NVP/SOAP APIのGETメソッドの使用中止について
ペイパル決済プログラムが、ペイパルのAPIに接続する際、POSTメソッドで接続する必要があります。
対応しない場合、ペイパルのAPIに接続できなくなります。
これは、ペイパル決済プログラムで対応する必要があります。
対応期限 2017年6月30日
5、API証明書の認証情報のアップグレード
ペイパル決済プログラムが、ペイパルから取得した期限付きAPI証明書を取得して、サーバー側の環境にインストールして使用している場合、ペイパルから取得する期限付きAPI証明書を、SHA-256に対応した証明書に置き換える必要があります。
この期限付きAPI証明書をサーバーに組み込んで使う決済プログラムの場合、ほとんどはプログラム開発の方が直接関与して環境を構築していると思いますので、プログラム開発の担当者にご相談ください。
対応しない場合、ペイパルのAPIに接続できなくなります。
6、PayPalのセキュアFTPサーバー用IPアドレスの更新
セキュアFTPサーバー用IPアドレスを使用するプログラムは、ほとんどはプログラム開発の方が直接関与して環境を構築していると思いますので、プログラム開発の担当者にご相談ください。
このように、今回は、ペイパル決済プログラムのユーザーさんが関与できる部分としては、
1、サーバー会社やサーバーを構築した方に、SHA-256、TLS1.2の対応状況を確認して、必要に応じて、サーバーの引越しや再構築を検討する
2、ペイパル決済プログラムの開発担当者に対応状況を確認して対応できていないようであれば、個別に開発したものであれば、バージョンアップを依頼する、もしくは、バージョンアップ版のリリースを待つ
ということになります。