17

为了防止中间人攻击(伪装成其他人的服务器),我想验证我通过 SSL 连接的 SMTP 服务器是否具有有效的 SSL 证书,证明它就是我认为的那个人。

例如,在端口 25 上连接到 SMTP 服务器后,我可以像这样切换到安全连接:

<?php

$smtp = fsockopen( "tcp://mail.example.com", 25, $errno, $errstr ); 
fread( $smtp, 512 ); 

fwrite($smtp,"HELO mail.example.me\r\n"); // .me is client, .com is server
fread($smtp, 512); 

fwrite($smtp,"STARTTLS\r\n");
fread($smtp, 512); 

stream_socket_enable_crypto( $smtp, true, STREAM_CRYPTO_METHOD_TLS_CLIENT ); 

fwrite($smtp,"HELO mail.example.me\r\n");

但是,没有提到 PHP 在哪里检查 SSL 证书。PHP 是否有内置的根 CA 列表?它只是接受什么吗?

验证证书是否有效以及 SMTP 服务器确实是我认为的身份的正确方法是什么?

更新

根据PHP.net 上的这个评论,我似乎可以使用一些流选项进行 SSL 检查。最好的部分是stream_context_set_option接受上下文或流资源。因此,在 TCP 连接的某个时刻,您可以使用CA cert bundle切换到 SSL 。

$resource = fsockopen( "tcp://mail.example.com", 25, $errno, $errstr ); 

...

stream_set_blocking($resource, true);

stream_context_set_option($resource, 'ssl', 'verify_host', true);
stream_context_set_option($resource, 'ssl', 'verify_peer', true);
stream_context_set_option($resource, 'ssl', 'allow_self_signed', false);

stream_context_set_option($resource, 'ssl', 'cafile', __DIR__ . '/cacert.pem');

$secure = stream_socket_enable_crypto($resource, true, STREAM_CRYPTO_METHOD_TLS_CLIENT);
stream_set_blocking($resource, false);

if( ! $secure)
{
    die("failed to connect securely\n");
}

此外,请参阅扩展SSL 选项的上下文选项和参数

但是,虽然这现在解决了主要问题 - 我如何验证有效证书实际上属于我正在连接的域/IP?

换句话说,我连接的服务器的证书也可能有一个有效的证书 - 但我怎么知道它对“example.com”有效,而不是另一个使用有效证书的服务器像“example.com”一样?

更新 2

您似乎可以使用 Steam 上下文参数捕获 SSL 证书并使用openssl_x509_parse对其进行解析。

$cont = stream_context_get_params($r);
print_r(openssl_x509_parse($cont["options"]["ssl"]["peer_certificate"]));
4

3 回答 3

8

更新:有更好的方法,请参阅评论。

您可以捕获证书并使用openssl作为过滤器与服务器进行对话。通过这种方式,您可以提取证书并在同一连接期间对其进行检查。

这是一个不完整的实现(不存在实际的邮件发送对话),应该可以帮助您入门:

<?php
    $server = 'smtp.gmail.com';

    $pid    = proc_open("openssl s_client -connect $server:25 -starttls smtp",
                    array(
                            0 => array('pipe', 'r'),
                            1 => array('pipe', 'w'),
                            2 => array('pipe', 'r'),
                    ),
                    $pipes,
                    '/tmp',
                    array()
            );
    list($smtpout, $smtpin, $smtperr) = $pipes; unset($pipes);

    $stage  = 0;
    $cert   = 0;
    $certificate = '';
    while(($stage < 5) && (!feof($smtpin)))
    {
            $line = fgets($smtpin, 1024);
            switch(trim($line))
            {
                    case '-----BEGIN CERTIFICATE-----':
                            $cert   = 1;
                            break;
                    case '-----END CERTIFICATE-----':
                            $certificate .= $line;
                            $cert   = 0;
                            break;
                    case '---':
                            $stage++;
            }
            if ($cert)
                    $certificate .= $line;
    }
    fwrite($smtpout,"HELO mail.example.me\r\n"); // .me is client, .com is server
    print fgets($smtpin, 512);
    fwrite($smtpout,"QUIT\r\n");
    print fgets($smtpin, 512);

    fclose($smtpin);
    fclose($smtpout);
    fclose($smtperr);
    proc_close($pid);

    print $certificate;

    $par    = openssl_x509_parse($certificate);
?>

当然,在向服务器发送任何有意义的内容之前,您将移动证书解析和检查。

$par数组中,您应该找到(在其余部分中)名称,与主题相同。

Array
(
    [name] => /C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.gmail.com
    [subject] => Array
        (
            [C] => US
            [ST] => California
            [L] => Mountain View
            [O] => Google Inc
            [CN] => smtp.gmail.com
        )

    [hash] => 11e1af25
    [issuer] => Array
        (
            [C] => US
            [O] => Google Inc
            [CN] => Google Internet Authority
        )

    [version] => 2
    [serialNumber] => 280777854109761182656680
    [validFrom] => 120912115750Z
    [validTo] => 130607194327Z
    [validFrom_time_t] => 1347451070
    [validTo_time_t] => 1370634207
    ...
    [extensions] => Array
        (
            ...
            [subjectAltName] => DNS:smtp.gmail.com
        )

要检查有效性,除了 SSL 自行执行的日期检查等之外,您必须验证这些条件中的任何一个是否适用:

  • 实体的 CN 是您的 DNS 名称,例如“CN = smtp.your.server.com”

  • 定义了扩展,它们包含一个 subjectAltName,一旦使用 展开explode(',', $subjectAltName),就会产生一组以 - 为前缀的DNS:记录,其中至少有一个与您的 DNS 名称匹配。如果不匹配,则拒绝证书。

PHP中的证书验证

不同软件中验证主机的含义充其量似乎是模糊的。

所以我决定深入了解这一点,并下载了 OpenSSL 的源代码(openssl-1.0.1c)并尝试自己检查一下。

我没有发现对我期望的代码的引用,即:

  • 尝试解析冒号分隔的字符串
  • 引用subjectAltName(OpenSSL 调用SN_subject_alt_name
  • 使用“DNS[:]”作为分隔符

OpenSSL 似乎将所有证书详细信息放入一个结构中,对其中一些运行非常基本的测试,但大多数“人类可读”字段都被单独留下。这是有道理的:可以说名称检查比证书签名检查处于更高级别

然后我还下载了最新的 cURL 和最新的 PHP tarball。

在 PHP 源代码中我也一无所获;显然,任何选项都只是向下传递,否则会被忽略。此代码运行时没有警告:

    stream_context_set_option($smtp, 'ssl', 'I-want-a-banana', True);

后来stream_context_get_options尽职尽责地取回

    [ssl] => Array
        (
            [I-want-a-banana] => 1
            ...

这也是有道理的:PHP 无法知道,在“上下文选项设置”上下文中,将使用哪些选项。

同样,证书解析代码解析证书并提取 OpenSSL 放在那里的信息,但它不会验证相同的信息。

于是又挖得更深了,终于在cURL中找到了一个证书验证码,这里:

// curl-7.28.0/lib/ssluse.c

static CURLcode verifyhost(struct connectdata *conn,
                       X509 *server_cert)
{

它在哪里执行我的预期:它查找 subjectAltNames,检查所有这些名称的完整性并将它们运行过去hostmatch,运行 hello.example.com == *.example.com 之类的检查。还有额外的健全性检查:“我们要求模式中至少有 2 个点,以避免通配符匹配过宽。” 和 xn-- 检查。

总而言之,OpenSSL 运行一些简单的检查并将其余的留给调用者。cURL,调用 OpenSSL,实现了更多的检查。PHP 也使用 对 CN 进行了一些检查verify_peer,但不理会subjectAltName。这些检查并不能说服我太多;请参阅下面的“测试”。

由于缺乏访问 cURL 函数的能力,最好的选择是在 PHP中重新实现这些函数。

例如,可变通配符域匹配可以通过点爆炸实际域和证书域来完成,颠倒两个数组

com.example.site.my
com.example.*

并验证相应项目是否相等,或证书一为*;如果发生这种情况,我们必须已经检查了至少两个组件,这里comexample

如果您想一次性检查所有证书,我相信上述解决方案是最好的解决方案之一。更好的是能够直接打开流而不求助于openssl客户端——这是可能的;见评论。

测试

我有一份来自 Thawte 的良好、有效且完全受信任的证书,发给“mail.eve.com”。

然后,在 Alice 上运行的上述代码将与 安全连接mail.eve.com,并且正如预期的那样。

现在我在 上安装相同的证书mail.bob.com,或者以其他方式让 DNS 相信我的服务器是 Bob,而实际上它仍然是 Eve。

我希望 SSL 连接仍然有效(证书有效且受信任),但证书不是颁发给 Bob - 它是颁发给 Eve。因此,必须有人进行最后一次检查并警告 Alice Bob 实际上是由 Eve 冒充的(或者等效地,Bob 正在使用 Eve 被盗的证书)。

我使用了下面的代码:

    $smtp = fsockopen( "tcp://mail.bob.com", 25, $errno, $errstr );
    fread( $smtp, 512 );
    fwrite($smtp,"HELO alice\r\n");
    fread($smtp, 512);
    fwrite($smtp,"STARTTLS\r\n");
    fread($smtp, 512);
    stream_set_blocking($smtp, true);
    stream_context_set_option($smtp, 'ssl', 'verify_host', true);
    stream_context_set_option($smtp, 'ssl', 'verify_peer', true);
    stream_context_set_option($smtp, 'ssl', 'allow_self_signed', false);
    stream_context_set_option($smtp, 'ssl', 'cafile', '/etc/ssl/cacert.pem');
    $secure = stream_socket_enable_crypto($smtp, true, STREAM_CRYPTO_METHOD_TLS_CLIENT);
    stream_set_blocking($smtp, false);
    print_r(stream_context_get_options($smtp));
    if( ! $secure)
            die("failed to connect securely\n");
    print "Success!\n";

和:

  • 如果证书无法通过受信任的机构验证:
    • verify_host 什么都不做
    • verify_peer TRUE 导致错误
    • verify_peer FALSE 允许连接
    • allow_self_signed 什么都不做
  • 如果证书过期:
    • 我得到一个错误。
  • 如果证书是可验证的:
    • 允许连接到冒充“mail.bob.com”的“mail.eve.com”,我得到“成功!” 信息。

我认为这意味着,除非我犯了一些愚蠢的错误,否则 PHP 本身不会根据名称检查证书

使用本文proc_open开头的代码,我再次可以连接,但这次我可以访问,subjectAltName因此可以自己检查,检测模拟。

于 2012-11-18T01:10:40.500 回答
3

为了不加载已经过长且不再过多的主题,请回答更多文本,我让那个来处理为什么和为什么,在这里我将描述如何

我针对 Google 和其他几台服务器测试了这段代码;有什么注释,嗯,代码中的注释。

<?php
    $server   = "smtp.gmail.com";        // Who I connect to
    $myself   = "my_server.example.com"; // Who I am
    $cabundle = '/etc/ssl/cacert.pem';   // Where my root certificates are

    // Verify server. There's not much we can do, if we suppose that an attacker
    // has taken control of the DNS. The most we can hope for is that there will
    // be discrepancies between the expected responses to the following code and
    // the answers from the subverted DNS server.

    // To detect these discrepancies though, implies we knew the proper response
    // and saved it in the code. At that point we might as well save the IP, and
    // decouple from the DNS altogether.

    $match1   = false;
    $addrs    = gethostbynamel($server);
    foreach($addrs as $addr)
    {
        $name = gethostbyaddr($addr);
        if ($name == $server)
        {
            $match1 = true;
            break;
        }
    }
    // Here we must decide what to do if $match1 is false.
    // Which may happen often and for legitimate reasons.
    print "Test 1: " . ($match1 ? "PASSED" : "FAILED") . "\n";

    $match2   = false;
    $domain   = explode('.', $server);
    array_shift($domain);
    $domain = implode('.', $domain);
    getmxrr($domain, $mxhosts);
    foreach($mxhosts as $mxhost)
    {
        $tests = gethostbynamel($mxhost);
        if (0 != count(array_intersect($addrs, $tests)))
        {
            // One of the instances of $server is a MX for its domain
            $match2 = true;
            break;
        }
    }
    // Again here we must decide what to do if $match2 is false.
    // Most small ISP pass test 2; very large ISPs and Google fail.
    print "Test 2: " . ($match2 ? "PASSED" : "FAILED") . "\n";
    // On the other hand, if you have a PASS on a server you use,
    // it's unlikely to become a FAIL anytime soon.

    // End of maybe-they-help-maybe-they-don't checks.

    // Establish the connection on SMTP port 25
    $smtp = fsockopen( "tcp://{$server}", 25, $errno, $errstr );
    fread( $smtp, 512 );

    // Here you can check the usual banner from $server (or in general,
    // check whether it contains $server's domain name, or whether the
    // domain it advertises has $server among its MX's.
    // But yet again, Google fails both these tests.

    fwrite($smtp,"HELO {$myself}\r\n");
    fread($smtp, 512);

    // Switch to TLS
    fwrite($smtp,"STARTTLS\r\n");
    fread($smtp, 512);
    stream_set_blocking($smtp, true);
    stream_context_set_option($smtp, 'ssl', 'verify_peer', true);
    stream_context_set_option($smtp, 'ssl', 'allow_self_signed', false);
    stream_context_set_option($smtp, 'ssl', 'capture_peer_cert', true);
    stream_context_set_option($smtp, 'ssl', 'cafile', $cabundle);
    $secure = stream_socket_enable_crypto($smtp, true, STREAM_CRYPTO_METHOD_TLS_CLIENT);
    stream_set_blocking($smtp, false);
    $opts = stream_context_get_options($smtp);
    if (!isset($opts['ssl']['peer_certificate'])) {
        $secure = false;
    } else {
        $cert = openssl_x509_parse($opts['ssl']['peer_certificate']);
        $names = '';
        if ('' != $cert) {
            if (isset($cert['extensions'])) {
                $names = $cert['extensions']['subjectAltName'];
            } elseif (isset($cert['subject'])) {
                if (isset($cert['subject']['CN'])) {
                    $names = 'DNS:' . $cert['subject']['CN'];
                } else {
                    $secure = false; // No exts, subject without CN
                }
            } else {
                $secure = false; // No exts, no subject
            }
        }
        $checks = explode(',', $names);

        // At least one $check must match $server
        $tmp    = explode('.', $server);
        $fles   = array_reverse($tmp);
        $okay   = false;
        foreach($checks as $check) {
            $tmp = explode(':', $check);
            if ('DNS' != $tmp[0])    continue;  // candidates must start with DNS:
            if (!isset($tmp[1]))     continue;  // and have something afterwards
            $tmp  = explode('.', $tmp[1]);
            if (count($tmp) < 3)     continue;  // "*.com" is not a valid match
            $cand = array_reverse($tmp);
            $okay = true;
            foreach($cand as $i => $item) {
                if (!isset($fles[$i])) {
                    // We connected to www.example.com and certificate is for *.www.example.com -- bad.
                    $okay = false;
                    break;
                }
                if ($fles[$i] == $item) {
                    continue;
                }
                if ($item == '*') {
                    break;
                }
            }
            if ($okay) {
                break;
            }
        }
        if (!$okay) {
            $secure = false; // No hosts matched our server.
        }
    }

    if (!$secure) {
            die("failed to connect securely\n");
    }
    print "Success!\n";
    // Continue with connection...
于 2012-11-18T22:31:27.727 回答
2

如何验证有效证书实际上属于我要连接的域/IP?

为域名颁发证书(从不为 IP)。它可以是单个域名(如mail.example.com)或通配符*.example.com)。使用 openssl 解码证书后,您可以读取common name从 field调用的名称cn。然后您只需要检查您尝试连接的机器是否是来自证书的机器。由于您已经在连接到远程对等方名称,因此检查非常简单,但是,根据您想要执行的偏执检查方式,您可以尝试确定您是否没有使用中毒的 DNS,它会解析您的mail.example.com主机名伪造IP。这应该通过首先mail.example.com使用gethostbynamel()解决来完成它将为您提供至少一个 IP 地址(假设您只得到 1.2.3.4)。然后,您使用gethostbyaddr()为每个返回的 IP 地址检查反向 DNS ,其中一个应该返回mail.example.com(请注意我使用了gethostbynamel(),而不是gethostbyname()因为服务器为每个名称分配了多个 IP 地址并不罕见)。

注意:请小心尝试应用过于严格的政策 - 您可能会伤害您的用户。单个服务器托管多个域(例如共享托管)是非常流行的场景。在这种情况下,服务器正在使用 IP 1.2.3.4,客户的域example.com被赋予该 IP 地址(因此解析example.com将为您提供1.2.3.4,但是该主机的反向 DNS很可能会有所不同,绑定到 ISP 域名,而不是客户的域,例如box0123.hosterdomain.comor 4-3-2-1.hosterdomain.com。这一切都很好且合法。托管商这样做是因为从技术上讲,您可以同时将单个 IP 分配给多个域名,但使用反向 DNS,您可以分配一个仅按 IP 输入。并且通过使用自己的域名而不是客户的域名,无论从服务器中添加或删除客户,您都无需打扰 revDNS。

因此,如果您获得了将要连接的主机的封闭列表 - 您可以进行此测试,但如果您的用户可能尝试连接到任何地方,那么我只会坚持只检查证书链。

编辑#1

如果您查询不受您控制的 DNS,则您无法完全信任它。这样的 DNS 可以变成僵尸,中毒,它可以一直撒谎,对你问他的任何查询做出虚假响应,“转发”(FQDN到 ip)和反向(ip 到 FQDN)。如果 dns 服务器被黑(root),它可以(如果攻击者有足够的动机)使其不转发in-addr.arpa查询并伪造响应以匹配其他回复(更多关于反向查找的信息)。所以事实上除非你使用DNSSEC还是有办法骗过你的支票的。所以你必须考虑你需要表现得多么偏执 - dns中毒可以欺骗前向查询,而如果主机不是你的,这对于反向查找不起作用(我的意思是它的反向DNS区域托管在其他服务器上,而不是一个回复您的正常查询)。您可以尝试通过直接查询多个 DNS 来保护自己免受本地 dns 中毒,因此即使一个被黑客入侵,其他人也可能不会。如果一切正常,所有 DNS 查询都应该为您提供相同的答案。如果某事是可疑的,那么一些回复会有所不同,您可以轻松检测到。

因此,这完全取决于您想要的安全程度以及您想要实现的目标。如果您需要高度安全,则不应使用“公共”服务,而是通过即使用 VPN 将您的流量直接隧道传输到目标服务。

编辑#2

至于 IPv4 与 IPv6 - PHP 缺乏两者的功能,所以如果你想做上面提到的检查,我宁愿考虑调用工具host来完成这项工作(或编写 PHP 扩展)。

于 2012-11-18T00:23:29.723 回答