Negli ultimi giorni è capitato a chi gestisce un e-commerce o un sito che adotti il sistema PayPal, di ricevere via mail una notifica in merito al nuovo algoritmo di sicurezza che è stato da poco introdotto.
Per evitare un’interruzione dei servizi PayPal, assicurati che i tuoi sistemi siano compatibili con l’algoritmo SHA-256 a partire dal 17 giugno 2016.
Vi starete domandando “cosa c’entra il mio sito in tutto ciò?” “cosa posso fare per correre tempestivamente ai ripari?” ma soprattutto “cos’è l’algoritmo SHA-256?”. Facciamo un respiro profondo e procediamo per gradi.
Cosa sta accadendo a PayPal?
PayPal sta preparando il terreno al fine di innalzare gli standard di sicurezza, a tutela degli acquirenti di tutto il mondo.
Infatti, dal 17 giugno fino al 29 di settembre verranno effettuati test importanti sulla crittografia, esortando chiunque utilizzi un sistema di pagamento PayPal ad adeguarsi agli standard di sicurezza 2016-2017.
Come specificato dal blog ufficiale di PayPal, si tratta di impostazioni di natura molto tecnica. Prima di procedere all’avventura, è consigliabile rivolgersi all’azienda che che cura il vostro e-commerce o al vostro programmatore di fiducia, e fare una panoramica su cosa sta accadendo dietro le quinte del colosso dei pagamenti digitali.
Come capire se un sito è sicuro?
Occhi aperti sulla barra degli indirizzi: quando un URL rispetta gli standard di sicurezza SSL è preceduto da un lucchetto, il testo dell’indirizzo è colorato (o evidenziato, a seconda del browser utilizzato) e l’indirizzo su cui si sta navigando comincia con la dicitura https.
Cos’è SSL?
Il Secure Sockets Layer (SSL) è il protocollo di sicurezza, assieme al Transport Layer Security (TLS) più diffuso e usato oggi. Si tratta essenzialmente di un protocollo che fornisce un canale sicuro tra due macchine che operano attraverso internet o una rete interna.
Nell’odierno mondo del web, il protocollo SSL viene utilizzato quando un browser web ha bisogno di connettersi in modo sicuro a un server web intrinsecamente non sicuro. Perché intrinsecamente? È possibile che il server a cui si accede sia nella norma per gli standard di sicurezza, ma è il protocollo SSL a garantire che tutti gli standard vengano rispettati.
In sostanza, SSL è un protocollo che richiede pochi sforzi da parte dell’utente finale, ma è bene ricordare di tenere sotto controllo queste piccoli variazioni sulla barra degli indirizzi qualora state per inserire dati sensibili.
Cos’è il certificato SSL?
I certificati SSL sono piccoli file di dati che si legano in modo digitale a una chiave crittografica per i dettagli di un’organizzazione. In genere, viene utilizzato per proteggere transazioni con carta di credito, il trasferimento dei dati e gli accessi, e più di recente sta diventando la norma quando si fissa la navigazione di siti di social network.
I certificati SSL mettono in comunicazione tra loro:
- Un dominio, il nome del server o il nome di un host e
- Un’identità organizzativa (vale a dire il nome della società) e la sua posizione geografica.
Un’azienda deve installare il certificato SSL sul suo server per avviare una sessione sicura con i browser. Una volta che la connessione protetta è stabilita, tutto il traffico web tra il server e il browser web si potrà considerare sicuro.
Come funziona?
I certificati SSL utilizzano una crittografia detta a chiave pubblica. Questo particolare tipo di crittografia sfrutta la potenza di due chiavi, lunghe stringhe di numeri generati casualmente: la prima è una chiave privata e l’altra è chiave pubblica.
La chiave pubblica è nota al server e disponibile sul dominio. Può essere usata per cifrare qualsiasi messaggio, un po’ come accadeva nelle vecchie comunicazioni cifrate, ma in maniera più evoluta.
I vantaggi di avere un sito protetto
La crittografia del certificato SSL protegge dati sensibili. Condividi il Tweet
come carte di credito, credenziali per il login (username, email, password, eccetera).
- In più:
- Mantiene alto lo status di sicurezza tra i server;
- Incrementa il ranking su google;
- Costruisce e migliora la fiducia nei clienti;
- Migliora i tassi di conversione.
Cosa fare per mettersi in carreggiata?
Woothemes, un portale da seguire per chi è in cerca di temi, estensioni e plugin di vario tipo, si è tempestivamente fiondata al nocciolo della questione e ha dedicato una pagina in merito ai nuovi standard di sicurezza.
È disponibile la sandbox PayPal aggiornata per l’algoritmo SHA-256. In più è possibile scaricare gratuitamente e testare la conformità IPN, ovvero sapremo in tempo reale se la Notifica di Pagamento Istantaneo funzionerà correttamente.
Ricapitolando…
- PayPal per rafforzare la sicurezza sulle transazioni monetarie, sta introducendo un nuovo algoritmo di sicurezza: SHA-256.
- Dal 17 Giugno al 29 Settembre 2016 verrà seguito un calendario dei test per verificare il corretto funzionamento dei sistemi.
- Entro il 30 Settembre 2016 chiunque usufruisce di tali servizi dovrà adeguarsi agli standard per non incorrere in problemi durante gli acquisti degli utenti.
- Se non si è sicuri della compatibilità dei propri sistemi con SHA-256, è consigliato rivolgersi al proprio web hosting, il provider del software di e-commerce, i programmatori interni o l’amministratore di sistema.