[2025年5月8日(木)より適用]Webhook通信のTLSセキュリティ強化について

2025.04.24

平素よりPAY.JPをご愛顧いただき、誠にありがとうございます。

このたび弊社では、Webhook通信における暗号化方式をより強固なものとするため、2025年5月8日よりTLSのセキュア・リネゴシエーション（RFC 5746）を完全に必須化いたします。

これにより、弊社から送信されるすべてのWebhookは、最新の暗号化基準に準拠したTLS通信のみを使用することになります。

変更の背景と影響

弊社では既にOpenSSL 3をベースとしたWebhook通信環境を展開しており、TLSの安全性は現時点でも高い水準を維持しておりますが、一部の特殊な状況に対処するため、限定的に旧仕様との互換性を残しておりました。

このたび、この互換設定を無効化し、標準的かつ安全な構成へと移行いたします。

この変更により、RFC 5746に準拠していないTLS通信は拒否されます。TLS 1.2以上に対応し、適切に構成されたWebhook受信サーバーであれば影響はありません。

2025年5月8日(木)

本変更により影響を受ける可能性があるのはOpenSSL 0.9.8l以前のバージョンとなりますが、それらのバージョンは拡張サポートを含むすべてのサポートが終了しているため、 原則としてこれらのバージョンのOpenSSLが加盟店システムで使用されていることは想定しておりません。

また、Webhook受信エンドポイントのTLS終端処理が大手クラウドベンダーが提供するロードバランサやCDNで提供されている場合も、原則影響はございません。

なお、本件は暗号化仕様の必須アップデートに伴う技術的変更となりますため、個別の例外対応や技術的サポートは承っておりません。

お手数ではございますが、ご不明な点がある場合は、システム担当者様にて接続環境のご確認をお願いいたします。

何卒よろしくお願いいたします。