1. Inicio
  2. Pregunta y respuesta
  3. ¿Existe alguna razón válida para ignorar los certificados SSL nulos/inválidos (cuando se trata de procesamiento de pagos)?

¿Existe alguna razón válida para ignorar los certificados SSL nulos/inválidos (cuando se trata de procesamiento de pagos)?

2011-11-16 19 views
5

Así que obtuve este dll de UnionPay para un proyecto de ecom con China y me pidieron que lo revisara. Después de lanzar esto en ILSpy, no pude dejar de notar el siguiente método:¿Existe alguna razón válida para ignorar los certificados SSL nulos/inválidos (cuando se trata de procesamiento de pagos)?

private static bool RemoteCertificateCallback(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors) 
{ 
    return true; 
}

Ahora, como yo lo entiendo, el propósito de una devolución de llamada tal es permitir que los certificados SSL no válidos o nulos - Tengo agregué un soporte similar para las pruebas unitarias.

(Este tipo de cosas me hace muy sospechoso de la intervención gubernamental CHR permitiendo el monitoreo intencional man-in-the-middle de las transacciones.)

¿Hay alguna razón legítima para un procesador de pagos para apoyar nula/inválido certs?

Fuente

2011-11-16 DaSleepingYeti

+3

Como mencionaste, es útil para la depuración. Si esperan que lo ejecutes en producción, deshazte de ellos. – SLaks

Respuesta

2

¿Hay alguna razón legítima para que un procesador de pago admita certs nulos/inválidos?

Ninguno en absoluto. Estás manteniendo una conversión secreta en una habitación oscura con ... alguien. También puedes estar usando texto plano. Consulte los comentarios sobre SSL no autenticado en RFC 2246. Estoy de acuerdo con @SLaks por completo.

Fuente

2011-11-17 00:15:53 EJP

Cuestiones relacionadas

 Cuestiones relacionadas