2018年3月8日,微信支付商户平台发布公告:微信支付HTTPS服务器计划于2018年5月29日更换服务器SSL证书,为避免下单、退款等功能无法使用,微信支付要求商户平台开发人员尽快验证商户服务器是否部署了新证书的根CA证书。
微信支付为什么更换HTTPS证书?
微信支付更换HTTPS证书,可能与谷歌Chrome对赛门铁克SSL证书的不信任进程有关。谷歌安全博客2018年3月7日发布公告,再次提醒用户“谷歌Chrome将停止信任赛门铁克及其旗下SSL证书品牌(Thawte、VeriSign、Equifax、GeoTrust和 RapidSSL)”。
微信支付HTTPS服务器所使用的赛门铁克旗下GeoTrust品牌的根CA,将在新版浏览器中不受信任。这应该是微信支付HTTPS服务器更换使用Digicert根CA的主要原因。
谷歌Chrome将在今年发布的版本中全面停止对赛门铁克SSL证书的信任:
谷歌Chrome 66版本:停止信任2016年6月1日之前签发的赛门铁克SSL证书;
谷歌Chrome 70版本:停止信任剩余的所有赛门铁克SSL证书的信任。
下表显示了Chrome 66和Chrome 70的发布时间,谷歌强烈建议网站运营者在第一个金丝雀版本前及时替换证书,最迟不晚于第一个Beta版本。
正在使用赛门铁克旗下SSL证书的网站,如果没有及时替换证书,网站页面将会在包括谷歌Chrome在内的所有主流浏览器新版本中显示错误,无法正常访问。
微信支付更换HTTPS证书,对商户有什么影响?
微信支付服务器更换HTTPS证书,新的服务器证书由权威机构(DigiCert) 签发。Digicert是老牌的SSL证书颁发机构,其根CA证书已经预置在各大操作系统、浏览器和移动终端中,不需要再专门去部署CA根证书。但有的服务器环境被用户做过大量的重新配置,有可能丢失了DigiCert 的根证书,为了谨慎起见,微信支付还是要求开发人员验证一下自己的服务器有没有预置Digicert的根CA(尽管这种概率比较低),避免出现下单、退款等功能无法使用的故障。
微信支付提供了两种方式供商户提前验证客户端是否支持了DigiCert证书:
方式一:调用微信支付沙箱环境的API接口验证
微信支付已经将新的服务器证书部署到了沙箱域名(apitest.mch.weixin.qq.com), 由于服务器证书是支持多域名的,API域名(api.mch.weixin.qq.com)与沙箱域名(apitest.mch.weixin.qq.com)使用的是同一张证书。如果使用沙箱环境的接口能调用成功,通常表明客户端支持微信支付新的服务器证书。
方式二:绑定HOST,请求已部署新证书的微信支付API服务器
商户可以根据不同的网络运营商, 为域名api.mch.weixin.qq.com 配置以下HOST,HOST环境可以访问的接口与正式环境完全一致,且真实生效。如果可以正常访问api.mch.weixin.qq.com,说明客户端支持了DigCert证书,反之则需要根据安装证书部分的指引,升级证书。
商户服务器是否需要做调整?
商户服务器应及时部署全球信任的SSL证书,提升网络安全性。在普通的网络环境下,HTTP请求存在DNS劫持、运营商插入广告、数据被窃取,正常数据被修改等安全风险。商户回调接口使用HTTPS协议可以保证数据传输的安全性,微信支付建议商户提供给微信支付的各种回调采用HTTPS协议。
商户服务器可通过部署SSL证书升级HTTPS加密,全球信任的SSL证书需要由受信任的数字证书颁发机构在验证服务器身份后颁发的,具有服务器身份验证和数据传输加密的功能。HTTPS在HTTP的基础上加入了SSL/TLS协议,依靠SSL证书来验证服务器的身份,并为客户端和服务器端之间建立“SSL加密通道”,确保用户数据在传输过程中处于加密状态,同时防止服务器被钓鱼网站假冒,有效解决常见的数据泄露、数据篡改、流量劫持和钓鱼攻击等安全问题,确保客户端和服务器之间、服务器与服务器之间的信息交互始终安全。
免费SSL证书是快速配置商户服务器HTTPS的方式,目前国内也有一些免费SSL证书产品可以申请,商户可以先通过部署免费SSL证书进行测试调试,调通后再申请验证企业身份的OV以上级别SSL证书用于长期使用。
未经许可,请勿转载。