Есть ли веская причина игнорировать недействительные / недействительные сертификаты SSL (при обработке платежей)?

Question

Итак, я получил эту dll от UnionPay для проекта ecom с Китаем, и меня попросили проверить. После добавления этого в ILSpy я не мог не заметить следующий метод:

private static bool RemoteCertificateCallback(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
     return true;
}

Теперь, насколько я понимаю, цель такого обратного вызова состоит в том, чтобы разрешить недействительные или нулевые сертификаты SSL - я сам добавил аналогичную поддержку для модульного тестирования.

(Подобные вещи заставляют меня с большим подозрением относиться к вмешательству правительства ЧР, предусматривающему преднамеренный мониторинг транзакций «человек посередине».)

Существует ли законная причина для обработчика платежей поддерживать нулевые / недействительные сертификаты?

Answer 1

Есть ли законная причина для поддержки платежного процессора недействительные / недействительные сертификаты?

Ничего. Вы проводите тайное обращение в затемненной комнате с ... кем угодно. Вы можете также использовать открытый текст. См. Комментарии о неподтвержденных SSL в RFC 2246 . Я полностью согласен с @SLaks.