Paypal IPN的这两个安全要求之间有什么区别?

时间:2018-06-19 23:17:16

标签: php paypal https paypal-ipn tls1.2

Paypal IPN的这两个安全要求之间的区别是什么,将于2018年6月30日完成?

  1. TLS 1.2和HTTP / 1.1升级

    https://www.paypal-notice.com/en/TLS-1.2-and-HTTP1.1-Upgrade/

      

    为确保我们系统的安全性并遵守行业最佳实践,PayPal正在更新其服务,以要求所有HTTPS连接都使用TLS 1.2。目前,贝宝还将要求所有连接都使用HTTP / 1.1。

  2. IPN验证回发到HTTPS

    https://www.paypal-notice.com/en/IPN-Verification-Postback-to-HTTPS/

    https://www.paypal.com/sg/webapps/mpp/ipn-verification-https

      

    IPN消息服务要求您确认已收到这些消息并对其进行验证。此过程包括将邮件发回到PayPal进行验证。过去,PayPal允许将HTTP用于这些回发。为了提高以后的安全性,仅HTTPS允许回发到PayPal。

1。和2.之间有什么区别?

第2点说HTTPS是IPN验证回发所必需的,第1点还说HTTPS是强制性的(但是,是否对IPN回发不精确?)

我们的ipn.php中是否有2种不同的东西要更新,或者基本上是同一件事?

注意:

  • This似乎证实,从2018年6月起,对IPN进行HTTPS调用不是强制性的:将URL http://example.com/ipn.php赋予Paypal(而不是HTTPS)仍然可以:

      

    目前,从PayPal到商家的IPN侦听器的出站IPN呼叫上不需要HTTPS。

1 个答案:

答案 0 :(得分:2)

关于HTTPS:HTTP是用于与Web服务交互的协议,当前存在1.0、1.1和2.0版本。 Paypal只是在声明他们不再支持1.0版本,该版本很古老(从1996年开始),并且至少需要1.1版(从1999年开始)。

关于TLS:TLS是HTTPS使用的加密标准,当前有1.0、1.1、1.2和1.3版本。他们正在删除对1.0和1.1的支持,因为这必须符合PCI-DSS(安全支付的标准)-出于这个原因,所有支付提供商都将于今年夏天使用TLS 1.2。这应该是几乎不可觉察的变化,因为当前所有的浏览器和库都支持TLS 1.2。

所有这些目标均针对其实际网站-https://www.paypal.com。因此,您对该网站所做的所有更改现在都已发生了更改-如果您使用TLS 1.0或1.1,或者如果您使用HTTP 1.0,它将不再起作用。在很多情况下,人们实际上依赖于低于1.2的TLS或专门使用HTTP 1.0的情况,但是您可能想检查一下自己是否不确定。

第二条语句只是意味着您不能再使用HTTP而不进行加密来验证付款,这再次是对Paypals网站的调用。对于HTTPS,您提到的不是“强制性”的是Paypal对您的Web服务/网站的调用(通知您该付款),但是您随后用来验证它的调用必须是HTTPS。我建议尽管始终对所有内容使用HTTPS,然后您不必担心。

相关问题
最新问题