Komunikat dot. zmiany konfiguracji SSL dla pay.ecard.pl
Transkrypt
Komunikat dot. zmiany konfiguracji SSL dla pay.ecard.pl
eCard Spółka Akcyjna 80-387 Gdańsk ul. Arkońska 11 Adres do korespondencji: 00-043 Warszawa ul. T. Czackiego 7/9/11 tel (22) 493 44 90 fax (22) 493 44 00 email: [email protected] www.ecard.pl Warszawa, dnia 14.02.2014 roku Komunikat dot. zmiany konfiguracji SSL dla pay.ecard.pl Szanowni Państwo, ze względu na konieczność dostosowania komunikacji HTTPS do obecnie obowiązujących wymogów PCI DSS (Payment Card Industry Data Security Standard) uprzejmie informujemy, że od dnia 10.03.2014 roku zostaną wprowadzone następujące zmiany w algorytmach szyfrowania protokołu HTTPS dla adresu IP 193.178.213.69 (pay.ecard.pl, payauth.ecard.pl, paysec.ecard.pl i inne): w przypadku klientów obsługujących tylko protokół TLSv1 lub SSLv3 dostępna będzie wyłącznie metoda szyfrowania RC4 z wymianą kluczy typu RSA lub PSK, w przypadku klientów obsługujących TLSv1.1 lub wyższy będą dostępne różne silne metody szyfrowania (klucze 128bit lub wyższe) z funkcja Forward Secrecy, nie będzie obsługiwana tzw. „niebezpieczna renegocjacja SSL” w związku z podatnością http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555 (Przez pojęcie "klient" rozumie się zarówno przeglądarkę internetową jak również wszelkiego rodzaju oprogramowanie np.: curl/openssl, java httpclient, axis itd, które realizuje połączenia HTTPS z systemami eCard). Na potrzeby testów zgodności oprogramowania klienckiego SSL z powyżej opisaną zmianą, udostępniliśmy oddzielny serwer „paytest.ecard.pl” (193.178.213.120) z protokołem HTTPS. Konfiguracja SSL tego serwera w możliwie najwyższym stopniu odzwierciedla zmiany, które zaczną obowiązywać od 10.03.2014 roku. Scenariusze testów przewidziane dla Akceptantów: Test zapytania o tzw. HASH (dotyczy tych Akceptantów, którzy nie liczą HASH jako sumy MD5 lub SHA): https://paytest.ecard.pl/servlet/HS - jakikolwiek kod odpowiedzi HTTP (np. 200, 404, 403, 500) oznacza pozytywny wynik testu. Test połączenia webservice (o ile dotyczy) https://paytest.ecard.pl/ws/services/Payment - w tym przypadku liczy się pozytywna renegocjacja SSL (należy użyć swojego certyfikatu klienckiego). Uzyskanie odpowiedzi HTTP z jakimkolwiek innym kodem niż 403 oznacza pozytywny wynik testu. Uwagi: Udostępnione testy dotyczą wyłącznie samego połączenia HTTPS. Odpowiedzi, które będą zwracane, należy ignorować (niezależnie od tego czy komunikat http będzie miał kod 200 czy 4xx czy 5xx) Kontakt: W przypadku wątpliwości lub problemów, prosimy o kontakt z działem technicznym email: [email protected], w temacie wiadomości prosimy wpisać „SSL zmiana”. Strona 1 z 1 eCard Spółka Akcyjna, 80-387 Gdańsk, przy ulicy Arkońskiej 11, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Gdańsk- Północ w Gdańsku VII Wydział Gospodarczy KRS pod numerem 0000042304, o kapitale zakładowym 16.840.000,00 złotych w całości opłaconym, nr NIP: 521-31-03-040