將CURLOPT_SSL_VERIFYPEER設置爲FALSE是否安全？即使你控制兩臺服務器？

Question

我有一個內部API，運行在共享主機上的應用程序通過HTTPS從專用服務器獲取半敏感數據。我在專用服務器上有證書，共享主機上的應用程序通過https進行API調用。

如果您在Web瀏覽器上測試SSL連接，則證書正常工作，但CURL在PHP中給我帶來一些麻煩。我已將我的CURLOPT_SSL_VERIFYPEER設置爲false以清除測試問題。

因爲我控制兩端的流量，所以將此設置保留爲假是否安全？事實上，我甚至需要SSL證書嗎？只要它通過HTTPS就是安全的，對吧？

我是否處於中間人攻擊的危險之中？

Answer 1

由於我控制兩端的流量，將此設置爲false是否安全？事實上，我甚至需要SSL證書嗎？只要它通過HTTPS就是安全的，對吧？

號你是唯一安全的，如果你不僅可以控制兩端，而且之間的一切。如果兩臺計算機之間只有一根電纜，並且控制兩臺計算機，則可能安全。如果有其他人可能訪問的佈線，路由器等，則不再安全。

我是否處於中間人攻擊的危險之中？

是的，除非你可以控制之間的一切，否則你無法阻止中間的一個人。除非您驗證證書，否則您既不能檢測也不能阻止攻擊。