Así que obtuve este dll de UnionPay para un proyecto de ecom con China y me pidieron que lo revisara. Después de lanzar esto en ILSpy, no pude dejar de notar el siguiente método:¿Existe alguna razón válida para ignorar los certificados SSL nulos/inválidos (cuando se trata de procesamiento de pagos)?
private static bool RemoteCertificateCallback(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
return true;
}
Ahora, como yo lo entiendo, el propósito de una devolución de llamada tal es permitir que los certificados SSL no válidos o nulos - Tengo agregué un soporte similar para las pruebas unitarias.
(Este tipo de cosas me hace muy sospechoso de la intervención gubernamental CHR permitiendo el monitoreo intencional man-in-the-middle de las transacciones.)
¿Hay alguna razón legítima para un procesador de pagos para apoyar nula/inválido certs?
Como mencionaste, es útil para la depuración. Si esperan que lo ejecutes en producción, deshazte de ellos. – SLaks