启用CURLOPT_SSL_VERIFYPEER和禁用CURLOPT_SSL_VERIFYHOST的安全后果是什么?
问问题
14412 次
1 回答
29
CURLOPT_SSL_VERIFYPEER检查远程证书是否有效,即您相信它是由您信任的 CA 颁发的并且它是真实的。
CURLOPT_SSL_VERIFYHOST检查证书是否已颁发给您要与之交谈的实体。
为了将其与现实生活中的场景进行比较,VERIFYPEER 就像检查 ID 的形式是否是您认可的形式(即来自您信任的国家的护照、来自您认识的公司的员工卡……)。VERIFYHOST 就像检查卡上的实际姓名是否匹配您想与之交谈的人。
如果您不使用 VERIFYHOST(正确的值是 2,而不是 1,顺便说一句),您将禁用主机名验证并为 MITM 攻击打开大门:任何拥有您信任的 ID 形式的人都可以冒充您的 ID 集中的任何人信任,例如,任何持有有效护照的人都可以假装自己是持有有效护照的其他任何人。
于 2012-12-06T10:56:55.460 回答