Sporadycznie (ok 5% requestów) niezgadzający się skrót MD5

[mpi]

Dostajemy sygnały od operatora bramki płatności, że nasz system czasami odpowiada statusem:
HTTP/1.1 403 MD5 signature do not match!
Pomimo tego, że oni wysyłaja poprawny podpis. Sprawdzali kilka razy, korzystaja z DigestUtils.md5Hex() z Apache commons-codec.
Pomimo, że ponowienie żądania naprawia problem, powinniśmy się temu przyjrzeć.
Dzięki uprzejmości operatora bramki płatności otrzymaliśmy log serwera dla którego dochodzi do błędu:

POST http://legacy-solutions.com/api/payments HTTP/1.1 403
amount=10000&status=OK&payload=order_id%3A6792&ts=1411677303294&md5=0c672178b3ce4ddc5404833b94cf5982

(zapis order_id%3A6792 w URLu to zakodowane order_id:6792)