Paypal IPN 的这两个安全要求有什么区别?

What is the difference between these 2 security requirements for Paypal IPN?

要在 2018 年 6 月 30 日完成的 Paypal IPN 的这 2 个安全要求之间有什么区别?

  1. TLS 1.2 和 HTTP/1.1 升级

    https://www.paypal-notice.com/en/TLS-1.2-and-HTTP1.1-Upgrade/

    To ensure the security of our systems and adhere to industry best practices, PayPal is updating its services to require TLS 1.2 for all HTTPS connections. At this time, PayPal will also require HTTP/1.1 for all connections.

  2. IPN 验证回发到 HTTPS

    https://www.paypal-notice.com/en/IPN-Verification-Postback-to-HTTPS/

    https://www.paypal.com/sg/webapps/mpp/ipn-verification-https

    The IPN message service requires that you acknowledge receipt of these messages and validate them. This process includes posting the messages back to PayPal for verification. In the past, PayPal has allowed the use of HTTP for these postbacks. For increased security going forward, only HTTPS will be allowed for postbacks to PayPal.

1. 和 2. 有什么区别?

第2点说IPN验证回发需要HTTPS,第1点也说HTTPS是必须的(但不明确是不是IPN回发?)

在我们的 ipn.php 中是否有 2 个不同的东西要更新,或者它们基本上是同一件事?


注:

关于HTTPS:HTTP是用于与网络服务交互的协议,目前有1.0、1.1和2.0版本。 Paypal 只是简单地声明他们不再支持 1.0 版本,这是古老的版本(从 1996 年开始),并且至少需要 1.1 版本(从 1999 年开始)。

关于TLS:TLS是与HTTPS一起使用的加密标准,目前有1.0、1.1、1.2和1.3版本。他们正在取消对 1.0 和 1.1 的支持,因为这是符合 PCI-DSS(安全支付标准)的必要条件——出于这个原因,今年夏天所有支付提供商都将转向 TLS 1.2。这应该是一个几乎察觉不到的变化,因为目前所有的浏览器和库都支持 TLS 1.2。

所有这些都针对他们的实际网站 - https://www.paypal.com。因此,您现在对该网站所做的一切都发生了这些变化——如果您使用的是 TLS 1.0 或 1.1,或者如果您使用的是 HTTP 1.0,它将不再有效。人们实际依赖低于 1.2 的 TLS 或专门使用 HTTP 1.0 的情况应该不多,但您可能想检查一下是否不确定。

第二个语句只是意味着您不能再使用不加密的 HTTP 来验证付款,这又是对 Paypals 网站的调用。您提到的 HTTPS 不是 "mandatory" 的是 Paypal 对您的网络服务/网站的调用(通知您该付款),但是您随后为验证它所做的调用必须是 HTTPS。不过,我建议始终对所有内容使用 HTTPS,这样您就不必担心了。