【问题标题】:What's a reliable way of obtaining OpenSSL's CAPath from PHP?从 PHP 获取 OpenSSL 的 CAPath 的可靠方法是什么?
【发布时间】:2014-03-28 06:53:14
【问题描述】:

PHP(直到最近才与 python 相同)存在一个长期存在的安全问题,即所有使用 SSL/TLS 的函数都不执行证书验证,因此只要站点提供某种有效证书,即使它没有由已知的 CA 签名,或者与域不匹配,它也将被允许。这当然意味着它容易受到中间人攻击。

PHP 5.6 通过实现this PHP RFC 解决了这个问题。其中很大一部分是新的 php.ini 属性 openssl.capath,它指向作为主机平台上 OpenSSL 一部分的 CA 证书文件夹,并且可以被 PHP 的 SSL 流上下文用作 capath 属性 (docs) . A second RFC 添加了一个函数 openssl_get_cert_locations() 以使这更加容易。

这对 PHP 5.6 来说很好,但是对于早期版本来说,找到 CA 证书路径并不是一个容易解决的问题,这意味着对于每个人来说,因为 5.6 还没有发布。

在大多数 Linux 发行版上,此路径为 /etc/ssl/certs,但这对于在 Windows、BSD、OS X 等上运行的可移植代码来说并不是一个可靠的假设。OS X 对此特别麻烦,因为 OS X 上的 OpenSSL 不存储 CA证书在文件系统中,但在系统钥匙串中。

这对于任何特定平台当然很容易解决,因为您可以在您的服务器上设置任何合适的内容,但在这种情况下,它适用于一些非常流行的库代码。

谁能提出一种可靠的跨平台查找 CA 证书路径的方法?

【问题讨论】:

    标签: php security ssl certificate


    【解决方案1】:

    首先,我要感谢您意识到应该检查证书。不幸的是,大多数人只是生活在不安全的默认值中,并且很高兴没有抛出任何错误。

    但是对于你的问题: OpenSSL 在 OS X 上不使用钥匙串(另见 http://landonf.bikemonkey.org/code/macosx/certsync.20130514.html)。所有平台的 openssl 都以相同的方式确定默认位置(参见 openssl 源代码中的 crypto/cryptlib.h):

    • 包含证书作为指纹的默认目录(例如 ff588423.0 等)是环境变量 SSL_CERT_DIR 或 OPENSSLDIR/certs/ 的值,其中 OPENSSLDIR 是在编译时配置的。您可以通过调用命令 openssl version -d 或调用函数 SSLeay_version(5) 来获取 OPENSSLDIR 的值,该函数在 PHP 中也应该可用。
    • 与包含 CA 的默认文件类似,由环境变量 SSL_CERT_FILE 或 OPENSSLDIR/cert.pem 指定
    • 两个位置(目录和文件)可以并行使用

    这些设置通常在 Linux 和 *BSD 系统上工作,因为它们的证书安装在预期的位置,但在 Windows 和 OSX 上失败,它们自己的证书管理与 openssl 不兼容。所以在这个平台上,你要么需要找到一种方法来转换内置 CA,要么只使用 Mozilla 的 CA 包,转换为 PEM。你可以在http://curl.haxx.se/ca/cacert.pem找到这个

    编辑:我刚刚读到,OS X 上的本机 openssl 已被苹果修补以添加对 TEA 的支持(例如,集成到钥匙串中)。虽然添加的方式有问题,但请参阅https://hynek.me/articles/apple-openssl-verification-surprises/ 了解详情。

    【讨论】:

    • 感谢您的指点。我认为最大的问题是工具(如 PHP)不会抱怨未经验证的证书。我猜 OS X 的区别不在于 OpenSSL 不使用钥匙串,而是 OS X 不使用 OpenSSL(或者它会遇到同样的问题)。实际上,我最近 wrote a script 转换了从钥匙串导出的 CA 证书。
    猜你喜欢
    • 2014-09-20
    • 2016-07-31
    • 2018-03-19
    • 1970-01-01
    • 2021-06-20
    • 1970-01-01
    • 2010-11-14
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多