【发布时间】:2013-02-13 12:53:06
【问题描述】:
PayPal 的 curl_setopt_array 中的 CURLOPT_CAINFO 是为了让“实时”模式工作吗?
所以基本上我要问的是我们是否必须拥有 SSL 才能使 PayPal 实时模式工作,因为我制作的脚本在沙盒中工作,按照我想要的方式更新我的数据库,但只在沙盒中,而不是实时。我不想在这里发布我的脚本我会为此打开一个新线程,我只是问一个一般性问题,所以希望它会帮助我,或者功能中的其他人,我搜索了谷歌并无法得到一个可靠的答案。
祝你有美好的一天!
【问题讨论】:
-
没有。 ssl 无需验证/验证 SSL 证书即可正常工作。你只是失去了一些安全感,因为你知道你正在连接的“amazon.com”或“paypal.com”真的是 ARE amazon/paypal。但即使使用“假”证书,连接仍然是加密的。
-
如果任何处理支付的网络服务没有需要加密,我会非常担心。除此之外,我希望该服务能够验证对等点(这意味着您需要 CA 信任的证书)。不验证对等点是一种非常糟糕的安全做法,这会使您容易受到中间人攻击。
-
@rdlowrey,是的,问题是远程服务器在技术上无法检查客户端是否正在检查其服务器证书(除非它还需要客户端证书身份验证)。可以进行审计,但如果有几个系统跳过了对其后端连接的适当证书验证,我不会感到惊讶。
-
谢谢,但这不是我要问的,rdlowrey,我完全了解安全措施、证书的作用、为什么有用以及为什么用户寻找它。它不是我不打算使用它们,我肯定会使用证书,我只是想知道它是否是一个要求。感谢@MarcB 的回答。
-
@AaronRussell 我想我的意思是:paypal 是否需要它并不重要。除非您不关心用户支付信息的安全性,否则它应该是您的 的要求并且问题是无关紧要的(除非您正在寻找可用于您自己的邪恶目的的漏洞)。
标签: php ssl curl certificate paypal-ipn