【发布时间】:2015-11-09 21:57:35
【问题描述】:
如果我的网站的其中一个页面上有使用 Paypal 付款按钮将用户发送到 Paypal 以处理付款,是否需要为我的网站获取 SSL 证书?换句话说,是否应该通过 https 提供使用 Paypal 按钮进行支付的页面?
谢谢
【问题讨论】:
标签: ssl paypal ssl-certificate
【发布时间】:2015-11-09 21:57:35
【问题描述】:
不,如果您所有的敏感信息都只通过贝宝。
如果您在您的站点中保存任何敏感信息(电子邮件/用户名/密码) - 那么您当然必须有证书,因为有人可能会窃取这些信息。
但是如果贝宝正在做所有的工作。你很好。
https://www.jvfconsulting.com/blog/is-an-ssl-cert-needed-for-paypal-transactions/
【讨论】:
据我了解,Pay with PayPal 会转到他们的网站,并且不会在您的网站上保存任何敏感信息,因此不需要证书。但是,如果您要自己保存任何敏感信息,最好通过 https 来保存。
【讨论】:
-
电子邮件地址、姓名、电话号码是否被视为敏感信息?
-
当然可以。如果你有它们,请保护它们
Http 站点是在未加密的情况下发送的,因此可能会受到干扰和更改。
所以这取决于:您是否介意黑客拦截您的纯文本 http 页面并将“使用 PayPal 支付”链接替换为指向 paypa1.com 或某些此类网络钓鱼网站的不同链接,然后他们而不是您获得钱?
如果这不是您想要的,那么也可以在您的网站上使用 https。
【讨论】:
-
你是对的,但是用户会看到 paypa1.com 可能有无效的证书,浏览器通常应该在继续之前警告用户
-
你真的要依赖它吗?他们还可以重定向到paypa1.com(因此不需要证书)或使用他们有证书的域看起来很官方(例如mysecurepayment.com)。
-
当然不是,但是 - 他们可以使用“看起来”不错的域 - 但证书不会被 CA 批准。意思是,浏览器仍然应该警告用户。证书是针对域的确切名称进行签名的。含义 - gmail 有一个由经批准的 CA (GeoTrust) 为 mail.google.com 签名的证书。攻击者无法为他的网站 mysecurepayment.com 获得 CA 证书 - 因为没有人会批准它。
-
您可以选择任何免费的域并为其获取证书。刚刚检查,mysecurepayment.com 不可用,但 ppsecurepayment.com 是例如。轻松注册该域并获得证书,并且看起来都是绿色的。如果有人抱怨它是一个网络钓鱼站点,希望 CA 将撤销它,但重点是您可以获得 CA 批准的证书,该证书对于普通用户可能看起来不错的站点。因此,简而言之,如果您的网站需要付款详细信息(或任何个人信息),那么您应该使用 https - 即使您将所述详细信息的实际收集转移给第三方,如 PayPal。
-
再一次,为欺诈网站获取 CA 证书并不容易。如果你这样做 - 你已经死了,因为无论如何你都可以提供某种假冒产品而用户不会意识到这一点。我同意需要 https。检查 ebay - 在您按“立即购买”之前,它们是 HTTP。所以-我可以很容易地伪造它,然后重定向到我的网站。没有?