是的，这是错误的，这就是原因。正如您所提到的，PCI-DSS 要求通过安全通道处理包含敏感数据的通信。作为此过程的一部分，证书验证可确保相关证书处于良好状态并属于您打算与之交谈的一方。如果您不验证证书，则流量也可能未加密，因为您不知道另一端是谁。它可能是您的商家提供商，也可能是一个中间人，他在将您发送的所有卡数据转发给提供商之前读取并存储它。如果不验证证书，您将无法知道谁在查看数据，因此您对传输通道安全的信任级别必须为 0%。

所以，正如我在评论中所说，不要接受这个条件。如果您的商家提供商不能或不会解决问题，以便您可以自信地验证他们的证书，请寻找其他商家提供商。事实上，这在任何情况下都可能不是一个坏主意，因为如果他们愿意在这里快速和松散地使用 PCI 和安全性，你就无法知道他们系统中的其他什么地方他们已经采取了类似的自由把你和你的有风险的客户。

支付卡行业数据安全标准 -> 是的，错了！

您也许可以在 Qualy SSL Labs 服务器测试中检查握手有什么问题：

https://www.ssllabs.com/ssltest/

如果它是任何服务，他们可以在没有 SSL 的情况下提供它并告诉你使用它，但在这里甚至建议它都是疯狂的。

+Xander 说的。