【发布时间】:2014-03-28 06:53:14
【问题描述】:
PHP(直到最近才与 python 相同)存在一个长期存在的安全问题,即所有使用 SSL/TLS 的函数都不执行证书验证,因此只要站点提供某种有效证书,即使它没有由已知的 CA 签名,或者与域不匹配,它也将被允许。这当然意味着它容易受到中间人攻击。
PHP 5.6 通过实现this PHP RFC 解决了这个问题。其中很大一部分是新的 php.ini 属性 openssl.capath,它指向作为主机平台上 OpenSSL 一部分的 CA 证书文件夹,并且可以被 PHP 的 SSL 流上下文用作 capath 属性 (docs) . A second RFC 添加了一个函数 openssl_get_cert_locations() 以使这更加容易。
这对 PHP 5.6 来说很好,但是对于早期版本来说,找到 CA 证书路径并不是一个容易解决的问题,这意味着对于每个人来说,因为 5.6 还没有发布。
在大多数 Linux 发行版上,此路径为 /etc/ssl/certs,但这对于在 Windows、BSD、OS X 等上运行的可移植代码来说并不是一个可靠的假设。OS X 对此特别麻烦,因为 OS X 上的 OpenSSL 不存储 CA证书在文件系统中,但在系统钥匙串中。
这对于任何特定平台当然很容易解决,因为您可以在您的服务器上设置任何合适的内容,但在这种情况下,它适用于一些非常流行的库代码。
谁能提出一种可靠的跨平台查找 CA 证书路径的方法?
【问题讨论】:
标签: php security ssl certificate