微信扫码在特定场景下会在用户无感知的情况下 bypass HTTPS 证书校验

This topic created in 287 days ago, the information mentioned may be changed or developed.

通过微信扫一扫扫描一 QR 码（非微信小程序码），该 QR 码编码的内容为 https://商户自有 APEX 域名，服务端呈现的服务器证书的 CN/SAN 均不匹配商户二维码中编码的 FQDN, 微信没有任何阻断、警告或提示，直接丝滑加载 HTTPS 资源继续业务逻辑、拉起小程序。

反观支付宝：
安全警告
该网站的安全证书存在问题，可选择“继续”在浏览器中访问
[取消] [继续]

微信扫码

HTTPS 证书校验

支付宝

2 replies • 2025-09-11 19:50:46 +08:00

MossFox

Aug 30, 2025

是说扫描普通二维码打开小程序的这个场景？这种情况下它前置检查如果跟小程序开发者后台配置的规则对上了会直接跳小程序，Web 请求估计是发起都不会发起，所以有没有 SSL 问题都无关紧要（甚至我估计有没有解析都没事）。

busier

Sep 11, 2025 via iPhone

又不是什么值得赞扬的事情