近日微信支付提示HTTPS服务器更换证书，商户该如何应对？

2018年3月8日，微信支付商户平台发布公告：微信支付HTTPS服务器计划于2018年5月29日更换服务器证书。这则公告对使用沃通SSL证书的商户没有任何影响，不需要更换SSL证书。

由于谷歌Chrome将停止信任赛门铁克SSL证书及其旗下CA品牌（Thawte、VeriSign、Equifax、GeoTrust和 RapidSSL）。微信支付HTTPS服务器所使用的GeoTrust 品牌证书根CA，将在Chrome新版浏览器中不受信任，必须更换其他根CA签发的新证书。微信公告的目的是为了让商户检查自己的服务器上有没有预置新证书的根CA，确保更换证书后商户调用微信接口时能够顺畅进行，避免出现下单、退款等功能无法使用的故障。微信支付给商户提供了两种方式验证客户端是否支持新证书根CA，商户只需根据验证指引进行检查即可，对商户自己在服务器上部署的SSL证书没有任何直接关系。

微信支付验证客户端是否支持新证书的方法如下：

方式一：调用微信支付沙箱环境的API接口验证微信支付已经将新的服务器证书部署到了沙箱域名(apitest.mch.weixin.qq.com)， 由于服务器证书是支持多域名的，API域名(api.mch.weixin.qq.com)与沙箱域名(apitest.mch.weixin.qq.com)使用的是同一张证书。如果使用沙箱环境的接口能调用成功，通常表明客户端支持微信支付新的服务器证书。

方式二：绑定HOST，请求已部署新证书的微信支付API服务器商户可以根据不同的网络运营商， 为域名 api.mch.weixin.qq.com 配置以下HOST。HOST环境可以访问的接口与正式环境完全一致，且真实生效。如果可以正常访问api.mch.weixin.qq.com，说明客户端支持新的服务器证书，反之则需要根据安装证书部分的指引，升级证书。 在普通的网络环境下，HTTP请求存在DNS劫持、运营商插入广告、数据被窃取，正常数据被修改等安全风险。微信支付服务器部署HTTPS证书就是为了确保微信服务器与微信客户端、商户服务器、商户客户端之间的数据传输安全，防止数据泄露、数据篡改、流量劫持、钓鱼仿冒等安全风险。为了确保商户服务器数据传输的安全性，微信也建议商户服务器对提供给微信支付的各类回调接口采用HTTPS协议，确保数据全程安全。