平台证书安全性校验

wechatpay-apiv3 / CertificateDownloader

Java 微信支付 APIv3 平台证书的命令行下载工具

MIT License

247 stars 73 forks source link

Closed baizhimafa closed 4 years ago

baizhimafa commented 4 years ago

1583135729461

平台证书安全性校验这里的这一步是否是多余的，如若证书被中间人劫持替换了，中间人自签证书的颁发者也可以是Tenpay.com Root CA

xy-peng commented 4 years ago

@baizhimafa 第3/4步应当结合起来使用。

顺序上反过来可能更清晰一些，先通过信任链验证证书的有效性，再核对证书的颁发者。