2

我最近收到了一封来自 Authorize.net 的电子邮件,内容是:

在 2009 年 3 月 16 日至 20 日这一周,Authorize.Net 将弃用对 SSL 2.0 协议的所有旧版支持。最近对支付卡行业数据安全标准 (PCI DSS) 进行了更改,使 SSL 2.0 的使用违反了 PCI DSS。

所以问题是:如何确保我的 ColdFusion 应用程序使用 cfhttp 与 auth.net 服务通信,不会在 3 月份损坏?

试图找出支持的 SSL 版本,但找不到此类信息。

有什么建议么?

编辑

发现讨论:。似乎唯一可靠的方法是升级到CF8。

那么,现在还有其他问题:如何使用新的 auth.net 协议测试我的代码?有什么方法可以在上线之前切换开发环境?

我还向 auth.net 的开发支持发送了电子邮件,提出了这些问题。如果他们能为我提供解决方案 - 将在此处发布。

4

2 回答 2

1

这是 www.talkingtree.com 上关于此事的一篇不错的文章:

ColdFusion 协议标签 CFHTTP、CFINVOKE、CFLDAP 支持 SSLv2

看起来 CF8 是第一个支持 SSLv3 的版本。

您还可以真正弄脏自己的手并使用 Java 直接发出 SSLv3 请求。这当然需要更改工作代码以模拟 CF8 自带的功能。但是,如果升级不是您的选择,也许这是一个可行的选择。

恐怕我不能说太多关于如何针对 Authorize.net 测试你的代码。

于 2009-02-18T17:32:53.597 回答
0

好的,最后神说话了——Auth.net 开发者回复:

我们建议每个用户验证他们的服务器 SSL 加密协议设置。如果您不确定在哪里可以找到它们,请在 Google 搜索服务器类型以及 SSL 3.0 时提供这方面的有用信息。此外,服务器支持资源应提供此信息。

此更改已发布到测试环境。如果您愿意,您可以使用以下共享测试帐户进行测试:

登录ID:xxxxxxxx

密码:xxxxxxxxx

登录网址:https ://test.authorize.net

API 登录 ID:xxxxxxxx

交易密钥:xxxxxxxxx

发布到 URL:https ://test.authorize.net/gateway/transact.dll

注意:这是新的测试帐号,但我认为现在所有测试帐号都已更改,将尝试测试。

至少,现在我能够在更改生效之前在沙盒中测试我的交易,这就是我想要的。

于 2009-02-25T21:04:10.773 回答