在关于curl_setopt的PHP docs page上,最受欢迎的评论是
请大家,停止将CURLOPT_SSL_VERIFYPEER设置为false或0.如果 您的PHP安装没有最新的CA根证书 捆绑,在curl网站下载一个并保存在你的 服务器:
http://curl.haxx.se/docs/caextract.html
然后在php.ini文件中设置一个路径,例如在Windows上:
curl.cainfo = C:\ PHP中\ cacert.pem
关闭CURLOPT_SSL_VERIFYPEER允许中间人(MITM) 你不想要的攻击!
真的?据我了解,关闭CURLOPT_SSL_VERIFYPEER会停止验证对等方的证书,但数据传输会保持安全。哪一个是真的?
答案 0 :(得分:6)
是的,这是不安全的。如果您不检查证书,则无法确定发件人是否是您认为正在与之交谈的服务器,而且可能是冒名顶替者。一个男人在中间。
即使冒名顶替者也可以运行SSL并与您协商加密连接。但他们可以(据称)不使用合法的证书名称为伪造网站购买证书。