目标是编写用于TLS v1.2连接的PHP代码测试。获得成功的答案不是问题,但是通过在PHP中使用旧的TLS版本,我不会失败。显然,必须测试失败以证明代码的正确性(在一定程度上)。
在命令行上,我可以给出一个明显的区别:
$ curl -X POST https://api.paypal.com/v1/oauth2/token
{"name":"AUTHENTICATION_FAILURE", [...]
$ curl --tls-max 1.1 -X POST https://api.paypal.com/v1/oauth2/token
curl: (35) error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure
在PHP中,我尝试了此方法...
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, 'https://api.paypal.com/v1/oauth2/token');
curl_setopt($ch, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
// $response: '{"name":"AUTHENTICATION_FAILURE", [...]
...,这意味着成功建立了TLS v1.2连接,如上面的CLI示例所示,尽管已请求TLS v1.1。与请求CURL_SSLVERSION_TLSv1_2时的结果相同。
这是带有URL 7.64.0的PHP 7.3.7,我希望我不必重新编译PHP就可以禁用TLS v1.2支持。
答案 0 :(得分:1)
小的PHP / CURL测试脚本:
formControlName答案 1 :(得分:0)
鉴于TLS v1.1或更高版本(在7.34.0中添加)非常清楚,以及“可以使用CURL_SSLVERSION_MAX_宏之一来设置最大TLS版本”,因此“请求TLS v1.1”是错误的
答案 2 :(得分:0)
要回答我自己的问题,https://www.php.net/function.curl-setopt上的文档已经过时。 cURL 7.54更改了CURL_SSLVERSION_宏的行为,现在这些设置了连接的可接受的最低TLS版本。它还引入了CURL_SSLVERSION_MAX_宏,这些宏设置了尝试的最大TLS版本。在PHP文档更新之前,请参见https://curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html。
因此,将连接限制为TLS v1.1的方式如下:
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, 'https://api.paypal.com/v1/oauth2/token');
curl_setopt($ch, CURLOPT_SSLVERSION, CURL_SSLVERSION_MAX_TLSv1_1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);