微信支付HTTPS服务器常见问题

举报
沃通WoTrus 发表于 2019/01/24 11:02:08 2019/01/24
【摘要】 微信支付使用HTTPS来保证通信安全,同时也要求商户服务器确保数据传输安全。本文梳理了接入微信支付HTTPS 服务器相关的常见问题。

SSL 证书申请 

微信支付基于微信庞大的用户基数,用户黏性高、渗透力强,在线下消费场景中占据优势。微信支付使用HTTPS来保证通信安全,同时也要求商户服务器确保数据传输安全。本文梳理了接入微信支付HTTPS 服务器相关的常见问题。


1、为什么微信支付服务器默认HTTPS加密

微信支付默认使用HTTPS来保证通信安全,商户调用微信支付接口时必须使用HTTPS连接。微信支付服务器安装权威机构颁发的 SSL证书,商户调用微信支付API时,通过HTTPS加密传输数据,并通过微信支付服务器SSL证书验证微信支付服务器身份。


2、为什么商户服务器必须支持微信支付服务器所使用的根证书?

权威证书颁发机构的根证书预置于各大操作系统、浏览器、移动端(如:沃通CA提供的品牌SSL证书),因此由权威根证书签发的SSL证书能够在各类服务器和用户端环境中受到信任,顺利完成证书校验过程、实现HTTPS连接。如果商户服务器环境被做过大量重新配置,预置的根证书丢失,会导致根证书不受信任,无法完成SSL证书验证,出现下单、退款等功能无法使用的故障。因此,商户需要自行验证自己的服务器是否预置了微信支付HTTPS服务器所使用的根证书。


3、微信支付API证书的作用

商户调用微信支付安全级别较高的接口(如:退款、企业红包、企业付款)时,会使用到API证书,API证书用来证实商户身份,证书中包含商户号、证书序列号、证书有效期等信息,需要由证书授权机构(Certificate Authority ,简称CA)签发,以防证书被伪造或篡改。之前,微信支付仅提供平台自签的API证书。为了提高证书安全性能,2018年6月开始为商户提供权威CA颁发的API证书,以代替原先微信支付平台颁发的API证书及商户API密钥。目前,两种API证书并行存在,但平台自签API证书会逐步废弃。

(1)微信支付颁发的API证书——证书文件和私钥文件可从商户平台直接下载。

(2)权威CA颁发的API证书——需下载证书工具生成证书请求串,并将证书请求串提交到商户平台后才能获得证书文件,而私钥文件只能通过证书工具导出。


4、微信支付对商户服务器部署的要求

数据采集:法律禁止企业记录和存储的数据(如磁道信息、信用卡CVV码等)不能收集;客户端敏感数据必须先进行加密处理。

数据传输:商户服务器使用HTTPS确保网络传输安全性;禁用SSL等不安全协议和算法,建议使用TLS1.2。

数据保存:敏感信息禁止出现在日志中,如确实需要,需进行脱敏处理;缓存和DB中的敏感数据需进行加密或者虚化(Hash);密码等关键认证必须采用加盐Hash方式保存。


沃通SSL证书由沃通CA与全球知名品牌合作签发,严格遵循国际标准要求,支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各类浏览器、操作系统和移动终端,具备广泛兼容性,可用于微信支付、微信小程序、微信公众号、企业微信等各类微信应用HTTPS服务器搭建,以及SSL VPN设备、iOS安卓APP等HTTPS服务器搭建。


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。