我最近收到了一封来自 Authorize.net 的电子邮件,内容是:
在 2009 年 3 月 16 日至 20 日这一周,Authorize.Net 将弃用对 SSL 2.0 协议的所有旧版支持。最近对支付卡行业数据安全标准 (PCI DSS) 进行了更改,使 SSL 2.0 的使用违反了 PCI DSS。
所以问题是:如何确保我的 ColdFusion 应用程序使用 cfhttp 与 auth.net 服务通信,不会在 3 月份损坏?
试图找出支持的 SSL 版本,但找不到此类信息。
有什么建议么?
编辑
那么,现在还有其他问题:如何使用新的 auth.net 协议测试我的代码?有什么方法可以在上线之前切换开发环境?
我还向 auth.net 的开发支持发送了电子邮件,提出了这些问题。如果他们能为我提供解决方案 - 将在此处发布。
这是 www.talkingtree.com 上关于此事的一篇不错的文章:
ColdFusion 协议标签 CFHTTP、CFINVOKE、CFLDAP 支持 SSLv2
看起来 CF8 是第一个支持 SSLv3 的版本。
您还可以真正弄脏自己的手并使用 Java 直接发出 SSLv3 请求。这当然需要更改工作代码以模拟 CF8 自带的功能。但是,如果升级不是您的选择,也许这是一个可行的选择。
恐怕我不能说太多关于如何针对 Authorize.net 测试你的代码。
好的,最后神说话了——Auth.net 开发者回复:
我们建议每个用户验证他们的服务器 SSL 加密协议设置。如果您不确定在哪里可以找到它们,请在 Google 搜索服务器类型以及 SSL 3.0 时提供这方面的有用信息。此外,服务器支持资源应提供此信息。
此更改已发布到测试环境。如果您愿意,您可以使用以下共享测试帐户进行测试:
登录ID:xxxxxxxx
密码:xxxxxxxxx
登录网址:https ://test.authorize.net
API 登录 ID:xxxxxxxx
交易密钥:xxxxxxxxx
注意:这是新的测试帐号,但我认为现在所有测试帐号都已更改,将尝试测试。
至少,现在我能够在更改生效之前在沙盒中测试我的交易,这就是我想要的。