因此,我从银联获得了这个dll,用于与中国进行的电子商务项目,并被要求进行审查。将其放入ILSpy之后,我不禁注意到以下方法:

private static bool RemoteCertificateCallback(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
     return true;
}

现在,据我所知,这种回调的目的是允许无效或空的SSL证书-我已经为单元测试添加了类似的支持。

(这种事情使我对CHR政府的干预非常怀疑,因为它允许对交易进行有意中间人监视。)

付款处理方是否有任何正当理由支持空/无效证书?

最佳答案



没有任何。您正在与任何人在黑暗的房间里进行 secret 转换。您可能还使用纯文本。请参阅RFC 2246中有关未经身份验证的SSL的注释。我完全同意@SLaks。

关于ssl - 是否有正当的理由忽略无效/无效的SSL证书(在处理付款处理时)?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/8157093/

10-11 23:20
查看更多