php - 我们如何在 Guzzle 中指定 TLS/SSL 选项？

Question

我们开始在 PHP 中使用 Guzzle 和调用各种不同 API 的代码，其中一些不支持 TLSv1.2，其中一些需要 TLSv1.2。

强制 Guzzle 使用可用的最新协议的最佳方法是什么，除非我们知道它不会被识别？

Answer 1

它简单易行。

$client = new Client();
$guzzle = new GuzzleClient('https://www.yourweb.com', array(
    'curl.options' => array(
        CURLOPT_SSLVERSION => CURL_SSLVERSION_TLSv1_2
    )
));
$client->setClient($guzzle);
...

在 Guzzle 3.0+ 中（根据@limos 的评论更新）：

'curl' => array(
    CURLOPT_SSLVERSION => CURL_SSLVERSION_TLSv1_2
)

CURLOPT_SSLVERSION可以在官方 cURL 页面上找到可能的选项：http: //curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html

--- 更新（基于评论）---

选择正确的 SSL 协议版本不仅涉及CURLOPT_SSLVERSION设置，还涉及更多 cURL 设置。期望和重要的结果称为“最大前向保密”。这不仅适用于 cURL！

您不能使用多个CURLOPT_SSLVERSION参数（至少，我在 Guzzle 文档中没有找到这样的选项）。当您定义 时CURLOPT_SSLVERSION，cURL 将尝试使用该 SSL 版本——来自 cURL 文档（上面提供的关于 的链接CURLOPT_SSLVERSION）——“传递一个 long as 参数来控制尝试使用哪个版本的 SSL/TLS。”

您可以定义多个安全密码，但只能定义一个 SSL 版本参数。我不会使用早于 TLS 1.1 的任何东西。任何早期的 SSL 版本都容易受到攻击。版本 TLS 1.1 也很容易受到攻击，但如果你走这条路，你可能会在 1.2 中遇到客户端兼容性问题。唯一安全的（目前，直到他们发现一些漏洞）是 TLS 1.2。

如果安全性是重中之重，请使用最高可用的 TLS 版本 (TLS1.2)。当存在服务提供商安全责任时，客户端兼容性不是您的问题。

如果安全性很重要，这里有其他 cURL 选项可供查看：

• CURLOPT_SSL_VERIFYHOST
• CURLOPT_SSL_VERIFYPEER
• CURLOPT_CAINFO（cURL 在他们的网站上提供CA CERTs）
• CURLOPT_SSL_CIPHER_LIST

设置正确CURLOPT_SSL_VERIFYHOST，CURLOPT_SSL_VERIFYPEER将防止 MITM 攻击。

CURLOPT_CAINFO- 修复错误：35 - 连接中的未知 SSL 协议错误。提高最大前向保密性。

这是一个包含 cURL 密码 ( CURLOPT_SSL_CIPHER_LIST) 的列表，这将提高最大前向保密性：

'DHE-RSA-AES256-SHA',
'DHE-DSS-AES256-SHA',
'AES256-SHA',
'ADH-AES256-SHA',
'KRB5-DES-CBC3-SHA',
'EDH-RSA-DES-CBC3-SHA',
'EDH-DSS-DES-CBC3-SHA',
'DHE-RSA-AES128-SHA',
'DHE-DSS-AES128-SHA',
'ADH-AES128-SHA',
'AES128-SHA',
'KRB5-DES-CBC-SHA',
'EDH-RSA-DES-CBC-SHA',
'EDH-DSS-DES-CBC-SHA:DES-CBC-SHA',
'EXP-KRB5-DES-CBC-SHA',
'EXP-EDH-RSA-DES-CBC-SHA',
'EXP-EDH-DSS-DES-CBC-SHA',
'EXP-DES-CBC-SHA'

这些密码已根据 Qualys SSL Labs 强列表 (2014) 进行检查，弱密码已被删除。随意添加/删除任何密码。

如果您仍然想追求多种CURLOPT_SSLVERSION选择，我会编写一个脚本来这样做（我认为这不是一个好的做法或必要的）。但是，如果您出于任何原因决定使用该功能，请编写一些代码尝试使用最强的 SSL 加密，然后在连接失败时回退到下一个版本。

1. 在您做出决定之前，请查看 Qualys SSL Labs 的安全项目。
2. 查看SSL Labs关于完美前向保密和最佳实践的这篇文章。
3. 使用SSL Labs 的网络工具测试您的客户端（网络浏览器）是否存在任何漏洞。这将使您了解在您的服务器和应用程序上要查看的内容以及要改进和保护的内容。
4. 使用 Qualys 的 SSL Labs SSL 工具测试您的网站/网络服务。

漏洞和攻击：Longjam、FREAK、POODLE，应有尽有！谁知道还有哪些其他攻击或漏洞未被发现？是的！它们都会影响您对 SSL/TLS 连接的选择。

您无法控制客户端（除非您开发它），但您可以控制服务器和服务器-客户端协商。

无论您构建什么应用程序，您都应该查看最佳实践，根据您的需求和具体情况，您应该决定以下选项：

1. 安全
2. 兼容性
3. 可维护性
4. 复杂

如果安全性如此重要，请至少使用 TLS1.1。还要查看密码列表，我不会忽略那部分。

这也是一个很好的OWASP 指南，用于在您的应用程序周围创建安全层。

OWASP 和 Qualys SSL Labs 是很好的入门资源。我什至会对 cURL 和 OpenSSL 进行一些研究，以熟悉弱点、可能的安全选项和最佳实践。

有一些安全点，我没有提到并且缺少，但我们不能涵盖所有内容。这只是冰山一角。此处未提及的内容供您研究。

祝你好运！

如果可以的话，我会在附近回答任何问题。

Answer 2

在 Guzzle 5.3 中，我必须使用以下语法：

$guzzle = new \GuzzleHttp\Client([
    'defaults' => [
        'config' => [
            'curl' => [
                CURLOPT_SSLVERSION => CURL_SSLVERSION_TLSv1_2
            ]
        ]
    ]
]);