Cambios en el protocolo criptográfico TLS

Como parte de nuestro proceso de mejora continua y dando cumplimiento a las exigencias de PCI DSS, a partir del 26 de junio de 2018 la plataforma tecnológica de PayU dejará de dar soporte a los protocolos criptográficos de TLS anteriores a la versión 1.2, así como cualquier versión de SSL ya que son considerados obsoletos e inseguros. Las versiones 1.0 y 1.1 de TLS soportadas actualmente por nuestras aplicaciones y servicios web, serán deshabilitadas; por tanto todas las conexiones a nuestros sistemas, deberán realizarse a través de TLSv1.2.

A la fecha soportamos

A partir del 26 de junio solamente se soportará TLSv1.2

TLSv1.0 Ciphers (2) • TLS_RSA_WITH_AES_128_CBC_SHA • TLS_RSA_WITH_AES_256_CBC_SHA

TLSv1.1 Ciphers (2) • TLS_RSA_WITH_AES_128_CBC_SHA • TLS_RSA_WITH_AES_256_CBC_SHA TLSv1.2 Ciphers (6) • TLS_RSA_WITH_AES_128_CBC_SHA • TLS_RSA_WITH_AES_128_CBC_SHA256 • TLS_RSA_WITH_AES_128_GCM_SHA256 • TLS_RSA_WITH_AES_256_CBC_SHA • TLS_RSA_WITH_AES_256_CBC_SHA256 • TLS_RSA_WITH_AES_256_GCM_SHA384

Sin soporte

Sin soporte

Daremos soporte

Es muy importante que tengas en cuenta los siguientes puntos:

1. Si haces uso de nuestro SDK de Java debes actualizarte a la última versión (1.3.1) que es compatible con TLSv1.2, puedes descárgala a través de GitHub: https://github.com/developers-payu-latam/payu-latam-java-paymentssdk/releases/tag/V1.3.1 O también desde nuestra página web para desarrolladores: http://developers.payulatam.com/es/sdk/ 2. Asegúrate también de actualizar las siguientes dependencias del SDK: • HttpClient; versión mínima requerida 4.4.1 https://mvnrepository.com/artifact/org.apache.httpcomponents/httpclient/4.4.1 •

HttpCore; versión mínima requerida 4.4.4 https://mvnrepository.com/artifact/org.apache.httpcomponents/httpcore/4.4.4

3. Si usas nuestro SDK de PHP no es necesarios que realices ningún cambio. ¿Cómo verificar si tu aplicación es compatible con TLSv1.2? Desde el pasado 06 de junio de 2018, nuestro ambiente Sandbox se encuentra funcionando en integración con nuestra plataforma. A continuación, te compartimos un ejemplo de una solicitud de pago y la respuesta esperada usando formato JSON:

Mismo ejemplo pero usando formato XML:

Los datos de prueba y demás información necesaria relacionada con nuestro ambiente de Sandbox puedes encontrarla en el siguiente link: http://developers.payulatam.com/es/api/sandbox.html Si no obtienes un código de respuesta “SUCCESS”, y por el contrario obtienes errores de tipo: -

Handshake Failed SSL handshake timed out TCP connection failed

Es necesario que realices ajustes en tu aplicación. PayU no puede indicarte cuales son los ajustes que debes realizar para asegurar tu compatibilidad con TLSv1.2, ya que los mismos dependen de las tecnologías y Frameworks que estés usando, sin embargo, te compartimos algunas recomendaciones que te pueden ayudar: Framework: Java 1. Si usas JDK6, esta versión no es compatible con TLSv1.2, por lo tanto, es necesario que te actualices a JDK7 o a JDK8 preferiblemente. 2. Si usas JDK7, esta versión no es compatible por defecto con TLSv1.2, por lo que es necesario ajustar las configuraciones de la jvm. “-Dhttps.protocols=TLSv1.0,TLSv1.1,TLSv1.2” Si usas TOMCAT se debe editar el archivo “setenv.sh. Si usas SPRING-BOOT u otra tecnología compatible con Java, el ajuste debe hacerse sobre el script de arranque.

3. Si usas JDK 8, no es necesario que realices ningún cambio, ya que esta versión es compatible por defecto con TLSv1.2. https://blogs.oracle.com/java-platform-group/jdk-8-will-use-tls-12-as-default Para más información relacionada con Java y TLSv1.2, te invitamos a consultar el siguiente link: https://blogs.oracle.com/java-platform-group/diagnosing-tls,-ssl,-and-https Framework: .NET Es importante que tengas en cuenta que tanto la versión de Windows como la versión del Framework .NET deben ser compatibles con TLSv1.2. Te invitamos a visitar el siguiente link para obtener toda la información sobre las versiones de Windows y del Framework de .NET que soportan TLSv1.2. https://docs.microsoft.com/en-us/dotnet/framework/network-programming/tls

Cualquier inquietud al respecto, puedes comunicarte con nosotros a través del correo electrónico [email protected].

www.payu.com El contenido de este mensaje puede ser información privilegiada y confidencial. Si usted no es el destinatario real del mismo, por favor informe de ello a quien lo envía y destrúyalo en forma inmediata. Está prohibida su retención, grabación, utilización o divulgación con cualquier propósito. Este mensaje ha sido verificado con software antivirus, en consecuencia, el remitente de este no se hace responsable por la presencia en él o en sus anexos de algún virus que pueda generar daños en los equipos o programas del destinatario.