Saferpay TLS Änderung

Saferpay nutzt das Verschlüsselungsprotokoll Transport Layer Security (TLS), um die Kommunikation zwischen Händlern, Kunden und Partnersystemen zu schützen. Gemäss der neusten Fassung des PCI Data Security Standard (PCI DSS v.3.2) müssen frühe Versionen des TLS-Protokolls spätestens am 30. Juni 2018 deaktiviert werden (weitere Informationen finden Sie hier und hier).

Um die Einhaltung des PCI DSS zu gewährleisten und unseren Kunden weiterhin die höchsten Sicherheitsstandards bieten zu können, wird Saferpay die Verschlüsselungsprotokolle TLS 1.0 und TLS 1.1 in unserer Produktionsumgebung bis zum 12. Juni 2018 deaktivieren. Jede zukünftige Kommunikation mit unseren Systemen ist mit dem Protokoll TLS 1.2 und einer unterstützten Cipher Suite zu verschlüsseln.

Wenn Ihre Anwendungen und Infrastrukturen TLS 1.2 mit einer unterstützten Cipher Suite nach diesem Datum nicht unterstützen, können sie nicht mit der Infrastruktur und den Diensten von Saferpay kommunizieren und Sie können KEINE Zahlungen verarbeiten.

Sollten Sie unsicher sein, ob Sie Änderungen an Ihrem System vornehmen müssen, wenden Sie sich bitte an Ihren technischen Betreiber oder Administrator.

Verwenden Sie einen Hosting-Anbieter (z. B. Strato/1&1, ePages)?

JA
Kontaktieren Sie Ihren Anbieter und fragen Sie ihn, ob er TLS 1.2 unterstützt.

NEIN
Unterstützt Ihr System bereits TLS 1.2 mit einer der unterstützten Cipher Suites?

Falls ja, sind keine weiteren Massnahmen erforderlich. Falls nein, aktualisieren Sie Ihr System, damit es TLS 1.2 entsprechend unterstützt.

ACHTUNG: Weiter unten in den technischen Details erfahren Sie, wie Sie Ihr System überprüfen können.

Ab dem 12. Juni 2018 muss jede Kommunikation mit Saferpay mit dem Protokoll TLS 1.2 und einer der unterstützten Cipher Suites verschlüsselt sein. Davon betroffen sind alle von Saferpay angebotenen Dienstleistungen: 

• HTTPS-Anfragen von Händlersystemen an Saferpay

1. API-Anfragen und Lib-Aufrufe (JSON API, HTTPS-Schnittstelle, .NET/Java-Client-Bibliothek)
2. Bezahlseite, gehostete Eingabemaske und zahlreiche Weiterleitungen auf www.saferpay.com

• HTTPS-Anfragen von Saferpay an Händlersysteme

1. Benachrichtigungen (z. B. Rückruf-URLs im Parameter NOTIFYURL)

Um die Konformität Ihrer Systeme zu gewährleisten, empfehlen wir Ihnen, einen Integrationstest gegen unsere Testumgebung durchzuführen. Diese wurde bereits so konfiguriert, dass nur mehr TLS-1.2-Verbindungen zugelassen werden. Überprüfen Sie dabei Ihren gesamten Zahlungsprozess, also beispielsweise auch von ERP-Systemen durchgeführte Testmassnahmen.

Nach den Änderungen am 5. Juni 2018 wird Saferpay die folgenden Cipher Suites zum Herstellen von TLS-1.2-Verbindungen unterstützen:

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

1. Bitte berücksichtigen Sie beim Testen Ihrer Systeme folgende Schritte:
2. Bitte registrieren Sie sich hier für Ihr persönliches Testkonto, sofern Sie dies noch nicht getan haben: https://test.saferpay.com/
3. Bitte sorgen Sie dafür, dass sich Ihr System (z. B. Shop-Software) im Testmodus befindet und geben Sie im Verwaltungsbereich Ihres Shops die Anmeldedaten Ihres Testkontos ein, die Sie per E-Mail erhalten haben.
   
   Sollte Ihr Shop über keinen speziellen Testmodus verfügen, richten Sie sich bitte nach dem Leitfaden (siehe ältere API => Saferpay Client-Bibliotheken). Bitten Sie im Zweifelsfall Ihre Entwicklungsabteilung um Hilfe.
   
   
4. Führen Sie einen vollständigen Zahlungsvorgang durch. Wenn dieser erfolgreich abgeschlossen werden kann, ist Ihr System auf die anstehenden Veränderungen vorbereitet.

In einigen Anwendungsumgebungen sind möglicherweise allgemeine Konfigurationsschritte erforderlich, damit TLS 1.2 genutzt werden kann.

Stellen Sie zunächst sicher, dass Ihre Umgebung korrekt eingerichtet wurde, und gehen Sie dann weiter zur spezifischen Schnittstelle.

Java-Umgebungen
Wenn Ihre Java Runtime Environment mindestens Java 8 ist, sind keine Anpassungen notwendig. Java 8 nutzt standardmässig TLS 1.2.

In Umgebungen mit Java 7 muss die Verwendung von TLS 1.2 explizit aktiviert werden. Der entsprechende Konsolenbefehl lautet:

• java.exe -Dhttps.protocols=TLSv1.2

Frühere Java-Versionen unterstützen TLS 1.2 nicht. Der Java-Client kann in diesen Umgebungen nicht länger verwendet werden.

.NET-Umgebungen
In Umgebungen mit .NET Framework 4.5 muss die Verwendung von TLS 1.2 explizit aktiviert werden. Bitte geben Sie folgenden Befehl in Ihrer Anwendung ein:

• ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;

Frühere Versionen des .NET Framework unterstützen TLS 1.2 nicht. Der .NET-Client kann in diesen Umgebungen nicht länger verwendet werden.

Der Support für TLS 1.2 für die Java-Client-Bibliothek ist von der Version Ihrer Java Runtime Environment abhängig. Für weitere Informationen siehe Java-Umgebungen oben.

Bitte beachten Sie, dass der Java-Client veraltet ist und nicht länger mit zusätzlichen Funktionen oder Verbesserungen aktualisiert wird. Wir empfehlen den Wechsel zu unserer modernen und sicheren JSON API.

• Produktivsystem herunterladen
• Testsystem herunterladen

Bitte beachten Sie, dass der .NET-Client veraltet ist und nicht länger mit zusätzlichen Funktionen oder Verbesserungen aktualisiert wird. Wir empfehlen den Wechsel zu unserer modernen und sicheren JSON API.

Die Verwendung der HTTPS-Schnittstelle ist vor allem von der genutzten Umgebung abhängig. Die hierfür verfügbare Dokumentation beinhaltet möglicherweise Informationen darüber, ob Ihre Umgebung TLS 1.2 verwenden kann.

Für den Test benötigen Sie den allgemeinen Saferpay Test-Account, welchen Sie hier finden. Weitere Informationen finden Sie im Abschnitt Testverfahren.

Bitte beachten Sie, dass die HTTPS-Schnittstelle veraltet ist und nicht länger mit zusätzlichen Funktionen oder Verbesserungen aktualisiert wird. Wir empfehlen den Wechsel zu unserer modernen und sicheren JSON API.

Integrationen, die automatisch die Batch-Verarbeitungsschnittstelle aufrufen, müssen einen HTTP-Client verwenden, der mindestens TLS 1.2 unterstützt. Details dazu finden Sie in der Dokumentation Ihres Anwendungs-Frameworks.

Für die Verwendung der Batch-Verarbeitungsschnittstelle über einen Webbrowser ist ein TLS-1.2-fähiger Browser erforderlich. Moderne Browser unterstützten bereits TLS 1.2. Eine Liste der unterstützten Browser finden Sie hier.

MPU easy und X-Terminal werden nicht länger unterstützt. Betroffene Kunden wurden im Vorfeld informiert.

Sie können alternativ die sichere und praktische Mail-/Phone-Order-Funktion des Saferpay Backoffice in Ihrem Webbrowser verwenden.

Der C++ Client wurde 2010 eingestellt und wird nicht mehr unterstützt.

Wir empfehlen dringend den Wechsel zu unserer modernen und sicheren JSON API.