因此,我从银联获得了这个dll,用于与中国进行的电子商务项目,并被要求进行审查。将其放入ILSpy之后,我不禁注意到以下方法:
private static bool RemoteCertificateCallback(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
return true;
}
现在,据我所知,这种回调的目的是允许无效或空的SSL证书-我已经为单元测试添加了类似的支持。
(这种事情使我对CHR政府的干预非常怀疑,因为它允许对交易进行有意中间人监视。)
付款处理方是否有任何正当理由支持空/无效证书?
最佳答案
没有任何。您正在与任何人在黑暗的房间里进行 secret 转换。您可能还使用纯文本。请参阅RFC 2246中有关未经身份验证的SSL的注释。我完全同意@SLaks。
关于ssl - 是否有正当的理由忽略无效/无效的SSL证书(在处理付款处理时)?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/8157093/