微信支付基于微信庞大的用户基数,用户黏性高、渗透力强,在线下消费场景中占据优势。微信支付使用HTTPS来保证通信安全,同时也要求商户服务器确保数据传输安全。本文梳理了接入微信支付HTTPS 服务器相关的常见问题。
1、为什么微信支付服务器默认HTTPS加密
微信支付默认使用HTTPS来保证通信安全,商户调用微信支付接口时必须使用HTTPS连接。微信支付服务器安装权威机构颁发的SSL证书,商户调用微信支付API时,通过HTTPS加密传输数据,并通过微信支付服务器SSL证书验证微信支付服务器身份。
2、为什么商户服务器必须支持微信支付服务器所使用的根证书?
权威证书颁发机构的根证书预置于各大操作系统、浏览器、移动端(如:沃通CA提供的品牌SSL证书),因此由权威根证书签发的SSL证书能够在各类服务器和用户端环境中受到信任,顺利完成证书校验过程、实现HTTPS连接。如果商户服务器环境被做过大量重新配置,预置的根证书丢失,会导致根证书不受信任,无法完成SSL证书验证,出现下单、退款等功能无法使用的故障。因此,商户需要自行验证自己的服务器是否预置了微信支付HTTPS服务器所使用的根证书。
3、微信支付API证书的作用
商户调用微信支付安全级别较高的接口(如:退款、企业红包、企业付款)时,会使用到API证书,API证书用来证实商户身份,证书中包含商户号、证书序列号、证书有效期等信息,需要由证书授权机构(Certificate Authority ,简称CA)签发,以防证书被伪造或篡改。之前,微信支付仅提供平台自签的API证书。为了提高证书安全性能,2018年6月开始为商户提供权威CA颁发的API证书,以代替原先微信支付平台颁发的API证书及商户API密钥。目前,两种API证书并行存在,但平台自签API证书会逐步废弃。
(1)微信支付颁发的API证书——证书文件和私钥文件可从商户平台直接下载。
(2)权威CA颁发的API证书——需下载证书工具生成证书请求串,并将证书请求串提交到商户平台后才能获得证书文件,而私钥文件只能通过证书工具导出。
4、微信支付对商户服务器部署的要求
数据采集:法律禁止企业记录和存储的数据(如磁道信息、信用卡CVV码等)不能收集;客户端敏感数据必须先进行加密处理。
数据传输:商户服务器使用HTTPS确保网络传输安全性;禁用SSL等不安全协议和算法,建议使用TLS1.2。
数据保存:敏感信息禁止出现在日志中,如确实需要,需进行脱敏处理;缓存和DB中的敏感数据需进行加密或者虚化(Hash);密码等关键认证必须采用加盐Hash方式保存。
沃通SSL证书由沃通CA与全球知名品牌合作签发,严格遵循国际标准要求,支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各类浏览器、操作系统和移动终端,具备广泛兼容性,可用于微信支付、微信小程序、微信公众平台、企业微信等各类微信应用HTTPS服务器搭建,以及SSL VPN设备、iOS安卓APP等HTTPS服务器搭建。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
