Я использую PHP 7.0 от ppa:ondrej/php
на Ubuntu 14.04. Я взаимодействую с API и хотел бы удостовериться, что мой код PHP/CURL взаимодействует с правильным сервером и надежно (без любого риска отслеживания, MITM, вмешательства, и т.д.).
Я провел немного исследования и не вижу полного набора совета относительно этой темы.
Вот несколько вещей, которые я заметил о конфигурациях по умолчанию:
openssl.cafile
и openssl.capath
значения пусты.
Я верю этому CURLOPT_SSL_VERIFYPEER
значения по умолчанию к TRUE и что пакет сертификата по умолчанию обеспечивается ЗАВИХРЕНИЕМ (14.04 имеет ЗАВИХРЕНИЕ 7.35 и это верно с тех пор 7.10).
Кажется, что многими примерами "плохого" ssl являются вещи, что браузеры и мир безопасности в целом полагают, что конфигурация небезопасного, но PHP/CURL по умолчанию принимает.
Используя badssl.com и сценарий я записал, что начал тестировать, какие плохие конфигурации SSL инициируют ошибки, и я удивлен, сколько из них не инициировало ошибки.
Несколько возможных решений:
Я ищу ответы на любой из этих точек :)