PCI DSS状態:
「[する必要があります...]信頼できるSSL/TLSキー/証明書のみが受け入れられることを確認してください。」
簡単に言えば、支払いサービスプロバイダーから、SSLハンドシェイクの問題が発生した後、証明書を確認するよう依頼されたstopです。これは間違っていますか?
はい、これは間違っています。ここに理由があります。ご指摘のとおり、PCI-DSSでは、機密データを含む通信を安全なチャネルで処理する必要があります。このプロセスの一部として、証明書の検証により、問題の証明書が適切な順序であり、通信する相手に属していることが確認されます。証明書を検証しない場合、相手が誰であるかについてアイデアなしがあるため、トラフィックも暗号化されない可能性があります。それはあなたの商人プロバイダーであるかもしれません、またはそれをプロバイダーに転送する前にあなたが送るすべてのカードデータを読んで保存している中間者かもしれません。証明書を検証しないと、誰がデータを見ているのかを知ることができないため、トランスポートチャネルが安全であるという信頼レベルは、必ず0%でなければなりません。
したがって、コメントで述べたように、この条件を受け入れないでください。マーチャントプロバイダーが問題を修正できない場合、または問題を修正しないので、自信を持って証明書を検証できる場合は、別のマーチャントプロバイダーを見つけてください。実際、PCIとセキュリティをここで迅速かつ緩やかに遊ぼうとするなら、システムの他のどこで彼らがあなたとあなたを置く同様の自由を取っているのかを知ることができないので、それはいずれにしても悪い考えではないかもしれません。リスクのある顧客。