Nets kunde og har mottatt eposten: «SSL CERTIFICATE WILL BE RENEWED IN NETAXEPT»?

ssl pinning

Det ble i det siste uke sendt en e-post fra Netaxept om en kommende endring de skal gjøre i sitt tekniske oppsett. Mailen har emnefeltet: «SSL CERTIFICATE WILL BE RENEWED IN NETAXEPT» og er på engelsk.

VI har derfor mottatt en del henvendelser fra kunder som lurer på om dette betyr noe for dem og for deres Netaxept betalingsløsninger i WooCommerce.

Det korte svaret fra oss er igjen enkelt: Nei, dette betyr ikke noe for Netaxept betalingsløsninger som benytter Nettpilots WordPress plugin.

Benytter du Nettpilots plugin for Netaxept plugin med Vipps til WordPress WooCommerce til WooCommerce, så trenger du ikke gjøre noe og kan sitte helt rolig i båten. We’ve got your back;)

Dere benytter nemlig ikke «certificate pinning» når dere har vår løsning. Pluginet vårt sender deres kunder direkte til Netaxepts eget servermiljø, som hostes av Nets selv.

Jeg spurte Arthur, som er utvikler av våre betalingsløsninger andre integrasjoner, om han kunne fortolken E-posten fra Nets og forklare dette på en fornuftig måte for våre kunder. Arthur svarte følgende:

Arhur Nørve
Arhur er plugin utvikler og hovedansvarlig for Nettpilots webutvikling og support.

Certificate pinning er en teknikk man bruker ved kommunikasjon på internett av sikkerhetshensyn. Vi bruker ikke dette i vår plugin.

Forklaring

Aktørene man kontakter på internett bruker SSL-sertifiktater for å kryptere trafikken imellom deg og deres APIer.

Men, at kommunikasjonen er kryptert og sikker betyr ikke nødvendigvis at du kommuniserer med rett server/API.

Du kan nemlig bruke sertifiktatet til å kryptere trafikken uten å vite hvorvidt det tilhører de du ønsker å kommunisere med.

Noen kan (teoretisk) forfalske sertifikatet og lage en kopi av aktørens API, for så å deretter plassere seg seliv imellom dem og deg på nettverket.

Da vil all trafikk gå derigjennom og de kan desjifrere og se hva de vil.

Ved certificate pinning bruker man en “kode» som aktøren gir deg på forhånd (igjennom en sikker kanal) til å verifisere sertifikatet man bruker til enhver tid. Stemmer sertifikatets “kode” med den du har er det rett server du kommuniserer med. Er det ikke det, foregår et angrep.

I praksis er slike sjeldne og vanskelig å gjennomføre på store delte servere slik som de som vertsgiver (hoster) nettbutikker og nettsider.

Har du en eldre Netaxept løsning eller en nyere, skreddersydd løsning som ikke benytter WooCommerce, så vil vi også kunne hjelpe deg med å få oppdatert til en trygg og oppdatert nettbutikkløsning.