Bon, il y a un truc qui me pose problème avec mangopay.
Mangopay (
https://www.mangopay.com/fr/), c'est une solution de paiement en ligne qui dispose d'un API pour que l'on puisse intégrer ce système sur un site marchant.
En regardant leur doc, j'arrive sur cette page :
https://docs.mangopay.com/guide/ssl-information
Là, je me dis chouette, ils mettent en avant le test ssllabs de leur certif.
Donc je regarde
https://www.ssllabs.com/ssltest/analyze.html?d=api.sandbox.mangopay.com&s=104.20.250.64
À 1ère vu, l'on voit le A et on se dit que c'est bon comme certif.
Sauf que là, le point qui casse tout, l'IP du serveur et le certif appartiennent à ... CloudFlare basé aux USA :-(
Du coup, l'on a le schéma suivant :
client qui fait un payement -- connexion chiffrée --> CloudFlare aux USA qui voit tout en clair en mode MiTM -- connexion pas fiable --> mangopay
Pour des transactions bancaire, c'est vraiment de la merde.
-_-
—
Permalink