Atentie la platile online

Specialistii incearca sa gaseasca solutii rapide la problemele care afecteaza orice bresa de securitate in tranzactiile online. Din acest motiv, pentru a putea efectua plati cat mai sigure, procesatorii monitorizeaza in mod constant procesul de plata din punct de vedere tehnic.

Din cauza problemelor generate de protocolul SSLv3, recent detectate si anuntate, PayU va dezactiva protocolul de securitate SSL 3.0 in data de 16 ianuarie 2015 si il va inlocui cu protocolul TLS. In cazul in care folositi deja protocolul TLS, din motive de securitate, dar si pentru a asigura continuitate procesului de plata, PayU va recomanda sa verificati protocoalele folosite impreuna cu departamentul dumneavoastra tehnic sau cu furnizorul de hosting. PayU nu a inregistrat pana acum niciun incident asociat acestei erori.

De ce nu mai  este recomandat protocolul SSL 3.0?

Eroarea detectata transforma mecanismul protocolului SSL 3.0 intr-unul vulnerabil la atacurile POODLE (Padding Oracle On Downgraded Legacy Encryption). Ca si rezultat, informatia transmisa in timpul conexiunii criptate poate fi decriptata. Unica solutie pentru rezolvarea acestei situatii este sa nu mai utilizati acest protocol vulnerabil.

Cum poti verifica daca folosesti protocolul SSL 3.0?

Pentru a testa daca browser-ul pe care il folositi este vulnerabil, va recomandam sa accesati link-ul https://www.poodletest.com si sa urmati instructiunile.

Pentru a testa daca domeniul dumneavoastra este vulnerabil, va recomandam sa accesati link-ul https://www.poodlescan.com sau https://www.ssllabs.com/ssltest/analyze.html si sa urmati instructiunile.

Cum dezactivezi protocolul SSL 3.0?

Pentru a afla cum sa dezactivati acest protocol, va rugam sa accesati:

https://disablessl3.com/ssl-poodle.pdf

Cum activezi protocolul TLS?

Pentru a asigura securitatea platilor, PayU recomanda sa activati cat mai curand protocolul TLS. TLS v1.2 trebuie sa fie principalul protocol de securitate. Versiunea este superioara deoarece ofera functionalitati importante care nu sunt disponibile in versiunile anterioare protocolului. In cazul in care server-ul dumneavoastra (sau orice conexiune intermediara) nu suporta TLS v1.2, este necesar sa faceti o actualizare rapida. Daca providerii de hosting nu suporta TLS v1.2, solicitati un upgrade. Pentru a veni in sprijinul clientilor vechi, este nevoie sa continuati sa utilizati TLS v1.0 si TLS v1.1 pentru moment. Prin intermediul unor solutii (explicate ulterior), aceste protocoale pot fi considerate suficient de sigure pentru majoritatea site-urilor.

Cine poate fi afectat si cum?

Din momentul in care protocolul SSLv3 va fi dezactivat in platforma PayU, va informam ca situatiile urmatoare pot afecta conectivitatea clientului sau comerciantului:

  • SSLv3 este folosit  exclusiv de catre client sau comerciant in cadrul comunicarii cu PayU
  • Comerciantii folosesc exclusiv  SSLv3 in comunicarea initiata de catre PayU (ex: notificarile IPN)
  • Clientii finali folosesc browsere invechite, precum IE6, care nu suporta negocierea protocolului TLS.

Recomandarile PayU:

  • Clientii finali trebuie sa-si actualizeze versiunile browser-elor folosite (doar pentru clientii care folosesc IE6)
  • Clientii finali trebuie sa schimbe browser-ul IE6 cu un alt Browser (ex: Firefox, Chrome, Safari, Opera, o versiune diferita de IE6) care este compatibil cu protocolul TLS.

Ce se intampla daca nu iau nicio masura?

PayU va dezactiva SSL 3.0 in data de 16 ianuarie 2015, ceea ce inseamna ca este necesar sa activati protocolul TLS pana la data mentionata. In caz contrar, procesul de efectuare a platilor poate fi afectat.

Pentru mai multe informatii in legatura cu vulnerabilitatea protocolului SSL 3.0 si atacul POODLE, puteti citi mai multe aici. In cazul in care aveti probleme, puteti oricand sa contactati PayU.  

 

credit foto: © Sumnersgraphicsinc | Dreamstime.comShopping Online With A Credit Card Photo