Paypal IPN, SSL y ataques intermedios

1. Esto debería ser seguro contra ataques de intermediarios si su máquina comprueba que ha recibido un certificado válido para Paypal de su correspondiente.

   Tenga en cuenta que algunas bibliotecas SSL lo dejan a usted para implementar / solicitar esta comprobación, por lo que deberá confirmar cuidadosamente que su código está realizando esa comprobación. (Dado que su máquina está iniciando la solicitud HTTP a Paypal, para propósitos del protocolo SSL, su máquina es el cliente y Paypal es el servidor).

2. No. La compra de su propio certificado no ayuda con esta comunicación con Paypal, cuando su máquina está iniciando una solicitud HTTP a Paypal. (Sin embargo, puede haber otras razones por las que es bueno que sus usuarios se conecten a su sitio a través de HTTPS en lugar de HTTP, lo que requiere un certificado).

SSL es inmune a MITM siempre y cuando uno de sus pares esté autenticado. Normalmente, este es el extremo del servidor de la transacción, en este caso Paypal), a menos que alguien haya roto el extremo del cliente "simplemente tratando de que funcione", por ejemplo. aceptando cualquier cosa en el camino de un certificado de servidor.

@kamziro: no estoy seguro de los comandos IPN de paypal ... pero en general, si desea evitar ataques de hombres en medio por ataques SSL, necesitará lo siguiente: i) SSL que implica la autenticación del cliente, lo que significa que Paypal debe autenticar el certificado de su servidor durante la fase de autenticación del certificado del cliente. ii) Tal vez utilice el certificado SSL de Paypal para cifrar el comando de IPN y puede firmar digitalmente con su clave privada, que puede verificarse en el lado de PayPal para verificar la autenticidad del remitente.