1

我们通过 SOAP 与服务集成,我们使用SoapClient。由于POODLE ssl3 漏洞,服务提供商将在这些服务器上禁用 SSLv3。

我找不到任何关于 SoapClient 在 PHP 中使用哪个 SSL 版本的有用信息。我也不明白如何在 SoapClient 和 PHP<5.5 中使用特定版本的 SSL(因为版本 5.5 在 SoapClient 构造函数中有一个选项,ssl_method)。

似乎 PHP 5.3 和 SoapClient 指定 SSL 版本的唯一方法是对 ssl 使用流式上下文。据我了解,我可以指定ciphers list,但这对我来说是黑水。我如何知道使用哪些密码来确保客户端不想通过 SSLv3 执行请求?

总而言之,我真的应该担心吗?告诉客户端使用哪个 SSL 版本似乎是服务器的责任,不是吗?而且如果我过去没有指定确切的(3)版本,我们服务提供商的 SSLv3 关闭不会影响我们吗?

4

1 回答 1

2

您将 SSL与 SSLv3 a cipher混淆了。PHP 使用的库是为您的系统构建或打包时可用的库。php_info()您可以从或类似的命令中找出具体的版本。

要禁用 SSLv3(密码),只需将TLSv1其用作密码。为此,请将可选选项数组传递给 SoapClient 构造函数:

ssl_method选项是 SOAP_SSL_METHOD_TLS、SOAP_SSL_METHOD_SSLv2、SOAP_SSL_METHOD_SSLv3 或 SOAP_SSL_METHOD_SSLv23 之一。

在这里你会使用SOAP_SSL_METHOD_TLS.

于 2015-01-20T04:20:53.380 回答