11
什麼是啓用CURLOPT_SSL_VERIFYPEER和禁用CURLOPT_SSL_VERIFYHOST的安全後果?安全後果(libcurl中/ OpenSSL的)
A
回答
24
CURLOPT_SSL_VERIFYPEER檢查遠程證書是有效的,即你相信它是由你信任的CA,它是真正的發行。
CURLOPT_SSL_VERIFYHOST檢查證書是否發給您想與之通話的實體。
將其與現實生活中的情況下,VERIFYPEER就像是檢查ID的形式是一個你認識(即從你信任的國家的護照,從你知道一個公司的員工卡,.. )。 VERIFYHOST就像查看你想與之通話的卡片上的實際名稱。
如果您不使用VERIFYHOST(正確的值爲2,而不是1,btw),您將禁用主機名驗證並打開MITM攻擊的大門:任何具有您信任的ID形式的人都可以模擬您信任的一組ID,例如任何持有有效護照的人都可以假裝他們是擁有有效護照的人。
相關問題
- 1. 禁用CURLOPT_SSL_VERIFYPEER(libcurl/openssl)的安全後果
- 2. Libcurl OpenSSL未找到
- 3. 正則表達式匹配安全openssl和不安全openssl
- 4. 無法鏈接libCURL與OpenSSL
- 5. OpenSSL線程安全嗎?
- 6. 線程安全代理與libcurl
- 7. libCurl和OpenSSL怪異的東西
- 8. 使用「不安全的」OpenSSL方法時的私鑰安全性
- 9. Android - 使用k9mail的OpenSSL安全證書
- 10. Android-21靜態構建libcurl與OpenSSL
- 11. 爲A9331交叉編譯libcurl和openssl
- 12. 無法使用OpenSSL構建libcUrl
- 13. 確保UDP安全 - OpenSSL或GnuTls或...?
- 14. libcurl是否支持嚴格的傳輸安全性(HSTS)?
- 15. 在AWS CPP SDK中與OpenSSL,libcurl和zlb鏈接
- 16. 安裝scrapy(openSSL)
- 17. 多libcurl的對象後
- 18. 在ruby/rbenv中安裝openssl
- 19. curl/curl.h,libcurl,libcurl4-openssl-dev,libcurl4-nss-dev庫之間的區別?
- 20. libcurl + openssl無法下載大於2GB的文件
- 21. 在Windows中安裝libcurl for C++
- 22. 如何建立與openssl的相互安全連接?
- 23. 使用OpenSSL C安全的客戶端/服務器程序
- 24. 通過管道使用openssl是安全的嗎?
- 25. 安全重新協商不支持OpenSSL的問題
- 26. 由於ActionScript和OpenSSL導致的Google Play安全警告
- 27. 的libcurl無效的ELF頭安裝
- 28. 在OPENSSL中,SSL_Connect()後SSL_ERROR_WANT_READ
- 29. RVM PKG安裝OpenSSL的
- 30. 安裝anaconda時的OpenSSL 1.0.0
謝謝你詳細解答。這使我想到了另一個快速問題:我收到了一個網站,其中包含有效的SSL證書 https://www.example.com(cn = www.example.com,因爲它應該)。當我通過它的IP地址訪問網站時,它會顯示證書錯誤(因爲cn不匹配),移除SSL_VERIFYHOST將解決它,但會將其打開爲MiTM攻擊。 處理這個問題的正確解決方案是什麼? (允許通過IP地址連接而不顯示錯誤)。僅使用CURLOPT_SSL_CTX_FUNCTION替換整個驗證方法以驗證特定IP地址是否與CN匹配? – user1782427
你爲什麼要連接IP地址?它是來自您自己的CA(或自簽名)的證書嗎? – Bruno
我有2個服務器(1.1.1.1和2.2.2.2),example.com的DNS包含2個A記錄(這些IP地址)。客戶端隨機選擇其中一個並連接到IP地址而不是主機名。我希望openSSL在檢查通用名稱字段時給我打電話,以便我可以將證書通用名與example.com進行比較,如果沒關係,我會接受證書。我還沒有看到,libcurl支持,所以我假設我必須寫我自己的實現。 example.com的證書是受信任的Verisign證書。 – user1782427