我们开始在 PHP 中使用 Guzzle 和调用各种不同 API 的代码,其中一些不支持 TLSv1.2,其中一些需要 TLSv1.2。
强制 Guzzle 使用可用的最新协议的最佳方法是什么,除非我们知道它不会被识别?
它简单易行。
$client = new Client();
$guzzle = new GuzzleClient('https://www.yourweb.com', array(
'curl.options' => array(
CURLOPT_SSLVERSION => CURL_SSLVERSION_TLSv1_2
)
));
$client->setClient($guzzle);
...
在 Guzzle 3.0+ 中(根据@limos 的评论更新):
'curl' => array(
CURLOPT_SSLVERSION => CURL_SSLVERSION_TLSv1_2
)
CURLOPT_SSLVERSION
可以在官方 cURL 页面上找到可能的选项:http: //curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html
--- 更新(基于评论)---
选择正确的 SSL 协议版本不仅涉及CURLOPT_SSLVERSION
设置,还涉及更多 cURL 设置。期望和重要的结果称为“最大前向保密”。这不仅适用于 cURL!
您不能使用多个CURLOPT_SSLVERSION
参数(至少,我在 Guzzle 文档中没有找到这样的选项)。当您定义 时CURLOPT_SSLVERSION
,cURL 将尝试使用该 SSL 版本——来自 cURL 文档(上面提供的关于 的链接CURLOPT_SSLVERSION
)——“传递一个 long as 参数来控制尝试使用哪个版本的 SSL/TLS。”
您可以定义多个安全密码,但只能定义一个 SSL 版本参数。我不会使用早于 TLS 1.1 的任何东西。任何早期的 SSL 版本都容易受到攻击。版本 TLS 1.1 也很容易受到攻击,但如果你走这条路,你可能会在 1.2 中遇到客户端兼容性问题。唯一安全的(目前,直到他们发现一些漏洞)是 TLS 1.2。
如果安全性是重中之重,请使用最高可用的 TLS 版本 (TLS1.2)。当存在服务提供商安全责任时,客户端兼容性不是您的问题。
如果安全性很重要,这里有其他 cURL 选项可供查看:
CURLOPT_SSL_VERIFYHOST
CURLOPT_SSL_VERIFYPEER
CURLOPT_CAINFO
(cURL 在他们的网站上提供CA CERTs)CURLOPT_SSL_CIPHER_LIST
设置正确CURLOPT_SSL_VERIFYHOST
,CURLOPT_SSL_VERIFYPEER
将防止 MITM 攻击。
CURLOPT_CAINFO
- 修复错误:35 - 连接中的未知 SSL 协议错误。提高最大前向保密性。
这是一个包含 cURL 密码 ( CURLOPT_SSL_CIPHER_LIST
) 的列表,这将提高最大前向保密性:
'DHE-RSA-AES256-SHA',
'DHE-DSS-AES256-SHA',
'AES256-SHA',
'ADH-AES256-SHA',
'KRB5-DES-CBC3-SHA',
'EDH-RSA-DES-CBC3-SHA',
'EDH-DSS-DES-CBC3-SHA',
'DHE-RSA-AES128-SHA',
'DHE-DSS-AES128-SHA',
'ADH-AES128-SHA',
'AES128-SHA',
'KRB5-DES-CBC-SHA',
'EDH-RSA-DES-CBC-SHA',
'EDH-DSS-DES-CBC-SHA:DES-CBC-SHA',
'EXP-KRB5-DES-CBC-SHA',
'EXP-EDH-RSA-DES-CBC-SHA',
'EXP-EDH-DSS-DES-CBC-SHA',
'EXP-DES-CBC-SHA'
这些密码已根据 Qualys SSL Labs 强列表 (2014) 进行检查,弱密码已被删除。随意添加/删除任何密码。
如果您仍然想追求多种CURLOPT_SSLVERSION
选择,我会编写一个脚本来这样做(我认为这不是一个好的做法或必要的)。但是,如果您出于任何原因决定使用该功能,请编写一些代码尝试使用最强的 SSL 加密,然后在连接失败时回退到下一个版本。
漏洞和攻击:Longjam、FREAK、POODLE,应有尽有!谁知道还有哪些其他攻击或漏洞未被发现?是的!它们都会影响您对 SSL/TLS 连接的选择。
您无法控制客户端(除非您开发它),但您可以控制服务器和服务器-客户端协商。
无论您构建什么应用程序,您都应该查看最佳实践,根据您的需求和具体情况,您应该决定以下选项:
如果安全性如此重要,请至少使用 TLS1.1。还要查看密码列表,我不会忽略那部分。
这也是一个很好的OWASP 指南,用于在您的应用程序周围创建安全层。
OWASP 和 Qualys SSL Labs 是很好的入门资源。我什至会对 cURL 和 OpenSSL 进行一些研究,以熟悉弱点、可能的安全选项和最佳实践。
有一些安全点,我没有提到并且缺少,但我们不能涵盖所有内容。这只是冰山一角。此处未提及的内容供您研究。
祝你好运!
如果可以的话,我会在附近回答任何问题。
在 Guzzle 5.3 中,我必须使用以下语法:
$guzzle = new \GuzzleHttp\Client([
'defaults' => [
'config' => [
'curl' => [
CURLOPT_SSLVERSION => CURL_SSLVERSION_TLSv1_2
]
]
]
]);