启用CURLOPT_SSL_VERIFYPEER和禁用CURLOPT_SSL_VERIFYHOST会带来哪些安全后果?
1个回答
34
CURLOPT_SSL_VERIFYPEER 检查远程证书是否有效,即您信任它是由您信任的CA颁发的且真实存在。
CURLOPT_SSL_VERIFYHOST 检查证书是否颁发给您要通信的实体。
为了将其比喻为现实生活中的情况,VERIFYPEER 就像检查您认可的 ID 表单(例如来自您信任的国家的护照、来自您了解的公司的员工卡等)。 VERIFYHOST 就像检查卡上的实际姓名是否与您想要交流的人相匹配。
如果您不使用 VERIFYHOST(正确的值是 2,而不是 1),则会禁用主机名验证并为中间人攻击打开大门:任何拥有您信任的一种 ID 的人都可以假冒在您信任的 ID 集合内的任何人,例如任何持有有效护照的人都可以假扮成任何其他持有有效护照的人。
- Bruno
3
2感谢您详细的回答。这让我有了另一个快速问题:我有一个带有有效SSL证书的网站https://www.example.com(cn = www.example.com应该是)。当我通过它的IP地址访问网站时,它会显示证书错误(因为cn不匹配),删除SSL_VERIFYHOST将解决此问题,但会使其容易受到MiTM攻击。如何正确处理此问题?(允许通过IP地址连接而不显示错误)。替换整个验证方法,仅使用CURLOPT_SSL_CTX_FUNCTION验证特定IP地址是否与CN匹配? - user1782427
你为什么想要连接IP地址?这是来自你自己的CA证书(或者是自签名的)吗? - Bruno
我有两个服务器(1.1.1.1和2.2.2.2),example.com的DNS包含这些IP地址的2个A记录。客户端随机选择其中一个并连接到IP地址而不是主机名。我希望在openSSL检查公共名称字段时调用我,以便我可以将证书公共名称与example.com进行比较,如果一切正常,我将接受该证书。我没有看到libcurl支持此功能,因此我认为我必须编写自己的实现。example.com的证书是可信的Verisign证书。 - user1782427
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 8 使用C++/libcurl/openssl实现应用程序的安全服务器通信
- 6 libCurl真的是线程安全的吗?
- 4 使用openssl检查服务器安全协议
- 3 使用libcurl实现线程安全的代理
- 5 将"jsse.enableSNIExtension"设置为false会产生什么安全后果?
- 4 安全重协商不受支持 OpenSSL问题
- 7 使用OpenSSL构建LibCurl会导致链接器错误
- 4 Rustup称libcurl不支持或禁用协议“https”。
- 5 PayPal cURL选项(CURLOPT_SSL_VERIFYPEER和CURLOPT_SSL_VERIFYHOST)问题
- 3 使用libcurl,是否可以禁用HTTP Keep-Alive?