1. COMERCIOS CON CONEXIÓN DIRECTA HOST TO HOST / WEBSERVICE (formulario de pago propio del comercio)

  2. Tengo un comercio on-line. ¿Me afecta este cambio?

    Si tu comercio utiliza una conexión Host to Host o Webservice con nuestro servidor, de forma que existe una conexión directa entre el servidor de la tienda y el tpv virtual, puede estar afectado. Es el caso, por ejemplo de los comercios que tienen un formulario o página de pago propia y no redirigen a sus clientes a nuestra página de pago, o bien utilizan una conexión directa para realizar ciertas operativas de forma integrada y automática desde su propia web, como devoluciones, confirmaciones de operaciones de preautorización o consultas.

    No obstante, si tu comercio utiliza la página de pago de Redsys (redirigen a sus clientes cuando están navegando a nuestra página) y no tiene ninguna otra funcionalidad directamente integrada, no se ven afectados por esta actualización.

  3. ¿Por qué se realiza esta actualización?

    Por cambio en las Autoridades de Certificación (CA) que emiten los certificados de servidor web del TPV Virtual SIS, es necesario que antes del 8 de enero de 2018 , los comercios con conexión directa host to host / webservice (comercios que presentan directamente su propio formulario de pago a sus clientes) revisen que tienen cargados estos nuevos certificados de CA en sus almacenes de confianza y, en caso de no tenerlos, procedan a su instalación.

    En caso contrario, a partir de dicha semana, los propios servidores de los comercios rechazarán la conexión con Redsys por no reconocer el certificado web utilizado en esta URL, haciendo imposible realizar operaciones de comercio electrónico.


    Los certificados de CA que deben estar cargados en los sistemas del comercio son:

    - Autoridad de Certificación Raíz (DigiCert High Assurance EV Root CA)

    - Autoridad de Certificación Intermedia (DigiCert High Assurance EV Root CA)

  4. ¿Cómo revisar y en caso necesario añadir las nuevas CAs?

    Revisar y en caso de que sea necesario añadir nuevas CA al almacen de certificados de confianza de su aplicación o servidor no es una tarea que normalmente requiera mucho tiempo. No obstante, las tiendas que utilizan conexión directa con el tpv virtual no utilizan módulos o software distribuido por Redsys, sino que realizan sus aplicaciones de conexión de forma individual y puede ser diferente en cada caso, según la plataforma de desarrollo utilizada, lenguaje o sistema operativo del servidor de la tienda.

    Por ello, no hay unos pasos a seguir comunes en todos los casos. Deberá hacer llegar este comunicado a su área técnica, desarrollador, o proveedor de hosting que conozca la solución técnica empleada en su tienda para aplicar los pasos necesarios para revisar si ya cuenta con las CA necesarias (y no tendría que hacer nada más) o bien, en caso de no disponer de estos certificados, añadirlos.


  5. INFORMACIÓN ADICIONAL

    Antecedentes:

    A principios de 2017, el equipo de Google Chrome comenzó a investigar a Symantec por la emisión de algunos certificados de servidor TLS sin respetar las medidas de seguridad requeridas. En los últimos meses, Google y Symantec han estado trabajando para que se restablezca la confianza en los certificados emitidos por Symantec. Como parte de este proceso, Google y Symantec han indicado recientemente que el navegador Google Chrome dejará de confiar en la antigua infraestructura PKI de Symantec en dos fases, abril de 2018 (para certificados emitidos antes del 1 de junio de 2016) y octubre de 2018 (para certificados emitidos antes del 1 de diciembre de 2017). Después de estas fechas, Chrome (y otros navegadores) dejará de mostrar el "candado seguro" para los sitios web que utilicen estos certificados y posiblemente mostrarán avisos de "sitio inseguro".

    Por tanto, todos los certificados web emitidos por Symantec deben renovarse antes de esas fechas utilizando una nueva infraestructura PKI (nuevas Autoridades de Certificación), disponible desde el 1 de diciembre de 2017, para seguir siendo aceptados en las próximas versiones de Google Chrome (y del resto de navegadores que se adhieran a la medida, como por ejemplo Mozilla).

    Instalación de las nuevas Autoridades de Certificación

    Google y Symantec han indicado que todos los certificados emitidos después del 1 de diciembre de 2017 se emitirán bajo la nueva infraestructura PKI, con Autoridades de Certificación (CA) intermedia y raíz diferentes de los que se utilizaban hasta esa fecha.

    La mayoría de los usuarios no notarán este cambio ya que las nuevas CA están cargadas de serie en los navegadores existentes. Sin embargo, en conexiones directas host-to-host / webservice, los clientes deben verificar que las nuevas CA están cargadas en sus almacenes web de confianza, para que las conexiones TLS se sigan estableciendo a medida que se renuevan los certificados de servidor bajo esta nueva PKI.