支付之家网获悉,微信支付近日向商户和合作伙伴发布了一则微信支付网络变更通知,宣布将于2025年9月26日起对多个核心API域名进行IP地址替换。通知中明确要求使用防火墙的商户提前将新IP加入白名单,否则可能面临业务中断风险。
通知称,受运营调整影响,部分接入IP需进行替换,涉及域名包括:
api.mch.weixin.qq.com、api2.mch.weixin.qq.com、payapp.weixin.qq.com、pay.weixin.qq.com、action.weixin.qq.com、fraud.mch.weixin.qq.com、api.wechatpay.cn、api2.wechatpay.cn、payapp.wechatpay.cn、pay.wechatpay.cn、action.wechatpay.cn、fraud.wechatpay.cn。
根据安排,微信支付将于2025年9月26日在DNS解析中以新IP替换旧IP,并于2025年10月17日下线旧IP。如果商户系统使用出口防火墙的,请于上述日期前确保新IP在防火墙白名单范围内,避免因请求微信支付接口失败,对相关业务造成影响。请商户充分知悉并尽快对商户系统进行相应的调整。
值得注意的是,如商户系统未使用出口防火墙的,将不受前述变更影响。(即直接使用DNS解析微信支付域名)
支付之家网从《微信支付接入IP裁撤-商户排查和处理指引》了解到,微信支付接入IP裁撤变更,不影响直接使用DNS解析微信支付域名的业务。
微信支付执行IP裁撤之前,会先把新IP加入域名DNS解析,然后把旧IP从域名DNS解析中剔除。如果商户仍有请求到待裁撤IP,可能原因是:服务器配置了微信支付域名hosts、服务器的nscd服务开启了DNS缓存、程序代码配置了固定IP(待裁撤IP)、应用服务缓存。
商户的技术或运维人员可在调用微信支付接口的服务器上检查是否有待裁撤IP的相关配置,如有使用,请在业务低峰期进行处理和操作,避免影响业务。
支付之家网注意到,微信支付官方强烈建议商户不要做任何形式的IP绑定,包括但不限于hosts绑定、应用程序绑定IP等,该操作存在因IP变化导致业务受影响的风险,建议商户使用域名DNS解析,可直接解析到最优IP。
相关从业人士向支付之家网分析,微信支付构建了一套商户侧进行出站IP白名单验证的独特体系。其运行机制要求商户在自身的网络防火墙中,将微信支付官方公布的IP地址配置到出站白名单规则中,以确保请求能够成功发出。这种设计体现了明显的安全边界思维,为传统金融机构提供了可见、可控的安全保障。
出站白名单验证模式虽然运维成本较高,但安全边界清晰可见,符合传统企业的运维习惯和心理预期。这种”可见的安全感”在特定场景下具有重要价值。
不过,这种设计也带来了一定的运维成本。每次IP变更都需要商户手动更新防火墙规则,这在云原生时代与现代开发实践存在一定矛盾。
从微信支付强调”强烈建议商户不要做任何形式的IP绑定”的技术指引中,可以看到其寻求平衡的努力。官方正引导商户向更灵活的域名解析方式过渡,显示出向更现代化模式演进的意愿。
未经允许,严禁转载。发布者:支付之家网 转载或引用请注明出处:https://www.zfzj.cn/6062.html
