Последствия для безопасности отключения CURLOPT SSL VERIFYHOST (libcurl/openssl)

каковы последствия включенияпараметра curlopt_ssl_verifypeer и отключение CURLOPT_SSL_VERIFYHOST?

1 ответов


  • параметра curlopt_ssl_verifypeer проверяет, что удаленный сертификат действителен, т. е. Вы доверяете, что он был выдан CA, которому Вы доверяете, и что он подлинный.

  • CURLOPT_SSL_VERIFYHOST проверяет, что сертификат был выдан сущности, с которой вы хотели поговорить.

чтобы сравнить его с реальным сценарием, VERIFYPEER похож на проверку того, что форма ID является той, которую вы узнаете (т. е. паспорт от страны Вы доверяете, сотрудники карты от компании вы знаете, ...). VERIFYHOST - это как проверка фактического имени на карте, с которым вы хотели поговорить.

Если вы не используете VERIFYHOST (правильное значение 2, а не 1, Кстати), вы отключить имя хоста проверка и открыть дверь, MITM-атак: кто с удостоверение личности вы можете доверять никому подражать в набор идентификаторов, которым Вы доверяете, например, любой желающий при наличии паспорта может делать вид, что они никого с собой действительный паспорт.