php - 从 PHP 获取 OpenSSL 的 CAPath 的可靠方法是什么？

Question

PHP(直到最近才与 python 一样)存在一个长期存在的安全问题，因为它所有使用 SSL/TLS 的函数都不执行证书验证，因此只要站点提供某种有效证书，它会被允许，即使它不是由已知的 CA 签名，或者与域不匹配。这当然意味着它容易受到中间人攻击。

PHP 5.6 通过执行 this PHP RFC 解决了这个问题.其中很大一部分是新的 php.ini 属性 openssl.capath，它指向作为主机平台上 OpenSSL 一部分的 CA 证书文件夹，并且可以被 PHP 的 SSL 流上下文用作 >capath 属性 ( docs )。 A second RFC添加函数 openssl_get_cert_locations() 使这更容易。

这对于 PHP 5.6 来说很棒，但是找到 CA 证书路径对于早期版本来说并不是一个容易解决的问题，这对每个人来说都意味着因为 5.6 还没有发布。

在大多数 Linux 发行版上，这个路径是 /etc/ssl/certs，但对于在 Windows、BSD、OS X 等上运行的可移植代码来说，这不是一个可靠的假设。OS X 尤其麻烦这是因为 OS X 上的 OpenSSL 不将 CA 证书存储在文件系统中，而是存储在系统钥匙串(keychain)中。

对于任何特定平台，这当然很容易解决，因为您可以在您的服务器上设置任何合适的内容，但在这种情况下，它适用于一些非常流行的库代码，这些代码在所有地方都被使用。

谁能建议一种可靠的跨平台方法来查找 CA 证书路径？

Answer 1

首先，我要感谢您意识到应该检查证书。不幸的是，大多数人只是忍受不安全的默认设置，并且很高兴没有抛出任何错误。

但是对于你的问题:OpenSSL 不使用 OS X 上的钥匙串(keychain)(另见 http://landonf.bikemonkey.org/code/macosx/certsync.20130514.html )。所有平台的 openssl 都以相同的方式确定默认位置(请参阅 openssl 源代码中的 crypto/cryptlib.h):

• 包含证书作为指纹的默认目录(例如 ff588423.0 等)是环境变量 SSL_CERT_DIR 或 OPENSSLDIR/certs/的值，其中 OPENSSLDIR 在编译时配置。您可以通过调用命令 openssl version -d 或通过调用函数 SSLeay_version(5) 获取 OPENSSLDIR 的值，该函数也应该在 PHP 中可用。
• 类似于包含 CA 的默认文件由环境变量 SSL_CERT_FILE 或 OPENSSLDIR/cert.pem 指定
• 两个位置(目录和文件)可以并行使用

这些设置通常在 Linux 和 *BSD 系统上有效，因为它们的证书安装在预期位置，但在 Windows 和 OSX 上失败，它们有自己的证书管理与 openssl 不兼容。因此，在这个平台上，您要么需要找到一种方法来转换内置 CA，要么只使用 Mozilla 的 CA 包，转换为 PEM。您可以在 http://curl.haxx.se/ca/cacert.pem 找到它

编辑:我刚刚读到，OS X 上的 native openssl 已由苹果修补以添加对 TEA 的支持(例如集成到钥匙串(keychain)中)。尽管它的添加方式有问题，请参阅 https://hynek.me/articles/apple-openssl-verification-surprises/了解详情。