Błąd zwijania 60, problem z certyfikatem SSL: certyfikat z podpisem własnym w łańcuchu certyfikatów

Question 1

Próbuję wysłać żądanie curl z moim poprawnym APP_ID, APP_SECRET itp. Do

  https://oauth.vk.com/access_token?client_id=APP_ID&client_secret=APP_SECRET&code=7a6fa4dff77a228eeda56603b8f53806c883f011c40b72630bb50df056f6479e52a&redirect_uri=REDIRECT_URI

Muszę uzyskać z niego access_token, ale otrzymuję FALSE i curl_error()wypisuję następną wiadomość w przeciwnym razie:

60: SSL certificate problem: self signed certificate in certificate chain

Mój kod to:

    // create curl resource
    $ch = curl_init();

    // set url
    curl_setopt($ch, CURLOPT_URL, $url);
    //return the transfer as a string
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);

    // $output contains the output string
    $output = curl_exec($ch);
    if ( ! $output) {
        print curl_errno($ch) .': '. curl_error($ch);
    }

    // close curl resource to free up system resources
    curl_close($ch);

    return $output;

Kiedy przechodzę ręcznie do powyższego linku, dobrze otrzymuję access_token. Dlaczego nie działa z lokami? Prosimy o pomoc.

Question 2

Odpowiedzi sugerujące wyłączenie CURLOPT_SSL_VERIFYPEERnie powinny być akceptowane. Pytanie brzmi „Dlaczego to nie działa z cURL” i jak słusznie zauważył Martijn Hols, jest to niebezpieczne.

Błąd jest prawdopodobnie spowodowany brakiem aktualnego pakietu certyfikatów głównych CA. Zwykle jest to plik tekstowy z zestawem podpisów kryptograficznych, których curl używa do weryfikacji certyfikatu SSL hosta.

Musisz upewnić się, że Twoja instalacja PHP zawiera jeden z tych plików i że jest aktualny (w przeciwnym razie pobierz go tutaj: http://curl.haxx.se/docs/caextract.html ).

Następnie ustaw w php.ini :

curl.cainfo = <absolute_path_to> cacert.pem

Jeśli ustawiasz go w czasie wykonywania, użyj:

curl_setopt ($ch, CURLOPT_CAINFO, dirname(__FILE__)."/cacert.pem");

Question 3

To obejście jest niebezpieczne i nie jest zalecane :

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

Nie jest dobrym pomysłem wyłączanie weryfikacji SSL na poziomie równorzędnym. Może to narazić Twoje żądania na atakujące MITM.

W rzeczywistości potrzebujesz tylko aktualnego pakietu certyfikatów głównych CA. Zainstalowanie zaktualizowanej wersji jest tak proste, jak:

Pobieranie aktualnego cacert.pempliku ze strony cURL i
Ustawienie ścieżki do niego w pliku php.ini, np. W systemie Windows:

curl.cainfo=c:\php\cacert.pem

Otóż to!

Bądź bezpieczny.

Question 4

Jeśli certyfikaty SSL nie są poprawnie zainstalowane w twoim systemie, możesz otrzymać ten błąd:

Błąd cURL 60: problem z certyfikatem SSL: nie można uzyskać certyfikatu lokalnego wystawcy.

Możesz rozwiązać ten problem w następujący sposób:

Pobierz plik ze zaktualizowaną listą certyfikatów z https://curl.haxx.se/ca/cacert.pem

Przenieś pobrany cacert.pemplik w jakieś bezpieczne miejsce w systemie

Zaktualizuj php.iniplik i skonfiguruj ścieżkę do tego pliku:

Question 5

Ważne: ten problem doprowadzał mnie do szału na kilka dni i nie mogłem dowiedzieć się, co się dzieje z moimi instalacjami curl i openssl. W końcu zorientowałem się, że to mój pośredni certyfikat (w moim przypadku GoDaddy) był nieaktualny. Wróciłem do panelu administracyjnego SSL godaddy, pobrałem nowy certyfikat pośredni i problem zniknął.

Jestem pewien, że to jest problem dla niektórych z was.

Najwyraźniej GoDaddy zmienił w pewnym momencie swój certyfikat pośredni z powodu problemów z bezpieczeństwem, ponieważ teraz wyświetla to ostrzeżenie:

„Pamiętaj, aby używać nowych certyfikatów pośrednich SHA-2 zawartych w pobranym pakiecie”.

Mam nadzieję, że to pomoże niektórym z was, ponieważ oszalałem i to rozwiązało problem na WSZYSTKICH moich serwerach.

Question 6

Błąd: problem z certyfikatem SSL: certyfikat z podpisem własnym w łańcuchu certyfikatów

Solution:
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);    
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);
curl_setopt($ch, CURLOPT_FAILONERROR, 1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);

Answer 1

Próbuję wysłać żądanie curl z moim poprawnym APP_ID, APP_SECRET itp. Do

  https://oauth.vk.com/access_token?client_id=APP_ID&client_secret=APP_SECRET&code=7a6fa4dff77a228eeda56603b8f53806c883f011c40b72630bb50df056f6479e52a&redirect_uri=REDIRECT_URI

Muszę uzyskać z niego access_token, ale otrzymuję FALSE i curl_error()wypisuję następną wiadomość w przeciwnym razie:

60: SSL certificate problem: self signed certificate in certificate chain

Mój kod to:

    // create curl resource
    $ch = curl_init();

    // set url
    curl_setopt($ch, CURLOPT_URL, $url);
    //return the transfer as a string
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);

    // $output contains the output string
    $output = curl_exec($ch);
    if ( ! $output) {
        print curl_errno($ch) .': '. curl_error($ch);
    }

    // close curl resource to free up system resources
    curl_close($ch);

    return $output;

Kiedy przechodzę ręcznie do powyższego linku, dobrze otrzymuję access_token. Dlaczego nie działa z lokami? Prosimy o pomoc.

Answer 2

Może potrzebuję certyfikatu z .crtprzedłużeniem? Ale nie wiem, jak go zdobyć

Victor Bocharsky

Answer 3

1

Prosimy o unikanie [zepsutej] zaakceptowanej odpowiedzi. Zamiast tego użyj odpowiedzi @ erlangsec. Zobacz także Najbardziej niebezpieczny kod na świecie: sprawdzanie poprawności certyfikatów SSL w oprogramowaniu innym niż przeglądarka .

jww

Answer 4

180

Odpowiedzi sugerujące wyłączenie CURLOPT_SSL_VERIFYPEERnie powinny być akceptowane. Pytanie brzmi „Dlaczego to nie działa z cURL” i jak słusznie zauważył Martijn Hols, jest to niebezpieczne.

Błąd jest prawdopodobnie spowodowany brakiem aktualnego pakietu certyfikatów głównych CA. Zwykle jest to plik tekstowy z zestawem podpisów kryptograficznych, których curl używa do weryfikacji certyfikatu SSL hosta.

Musisz upewnić się, że Twoja instalacja PHP zawiera jeden z tych plików i że jest aktualny (w przeciwnym razie pobierz go tutaj: http://curl.haxx.se/docs/caextract.html ).

Następnie ustaw w php.ini :

curl.cainfo = <absolute_path_to> cacert.pem

Jeśli ustawiasz go w czasie wykonywania, użyj:

curl_setopt ($ch, CURLOPT_CAINFO, dirname(__FILE__)."/cacert.pem");

erlangsec
źródło

1

Dzięki, ale szukałem propozycji pracy z zewnętrznym API. Więc sugestia, że proponuję @SabujHassan działa i, jak zrozumiałem, API, z którego korzystałem, nie zapewnia SSL.

Victor Bocharsky

Doskonałe rozwiązanie. Dziękuję bardzo :)

Chandra Nakka

1

Działa jak magia. To powinna być odpowiedź, „zaakceptowana odpowiedź” jest łatwa, ale zła ze względów bezpieczeństwa.

KristCont,

Dzięki, jak powiedziałem, działa świetnie! To rzeczywiście powinna być prawidłowa odpowiedź.

PostMans

2

Warto zauważyć, że curl.cainfo nie pojawia się w phpinfo () w PHP 7.1 / 7.2, chociaż openssl.cafile tak. php.net/manual/en/curl.configuration.php

Elijah Lynn

Answer 5

1

Dzięki, ale szukałem propozycji pracy z zewnętrznym API. Więc sugestia, że proponuję @SabujHassan działa i, jak zrozumiałem, API, z którego korzystałem, nie zapewnia SSL.

Victor Bocharsky

Answer 6

Doskonałe rozwiązanie. Dziękuję bardzo :)

Chandra Nakka

Answer 7

1

Działa jak magia. To powinna być odpowiedź, „zaakceptowana odpowiedź” jest łatwa, ale zła ze względów bezpieczeństwa.

KristCont,

Answer 8

Dzięki, jak powiedziałem, działa świetnie! To rzeczywiście powinna być prawidłowa odpowiedź.

PostMans

Answer 9

2

Warto zauważyć, że curl.cainfo nie pojawia się w phpinfo () w PHP 7.1 / 7.2, chociaż openssl.cafile tak. php.net/manual/en/curl.configuration.php

Elijah Lynn

Answer 10

58

To obejście jest niebezpieczne i nie jest zalecane :

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

Nie jest dobrym pomysłem wyłączanie weryfikacji SSL na poziomie równorzędnym. Może to narazić Twoje żądania na atakujące MITM.

W rzeczywistości potrzebujesz tylko aktualnego pakietu certyfikatów głównych CA. Zainstalowanie zaktualizowanej wersji jest tak proste, jak:

Pobieranie aktualnego cacert.pempliku ze strony cURL i
Ustawienie ścieżki do niego w pliku php.ini, np. W systemie Windows:

curl.cainfo=c:\php\cacert.pem

Otóż to!

Bądź bezpieczny.

zxcmehran
źródło

5

Możesz również ustawić tę opcję w swoim kodzie, jeśli nie masz uprawnień do edycji php.inipliku globalnego : curl_setopt ($curl_ch, CURLOPT_CAINFO, dirname(__FILE__)."/cacert.pem");

zxcmehran

2

Pracowałem nad środowiskiem

deweloperskim

2

Dobry do testowania na dev env

Gaurav Rai,

To okropna rada i odpowiedź powinna zostać usunięta.

miken32

4

@ miken32 tak, a następnie proponuję alternatywne bezpieczne rozwiązanie jako zamiennik niebezpiecznego obejścia. Czytaj dalej do końca.

zxcmehran

Answer 11

5

Możesz również ustawić tę opcję w swoim kodzie, jeśli nie masz uprawnień do edycji php.inipliku globalnego : curl_setopt ($curl_ch, CURLOPT_CAINFO, dirname(__FILE__)."/cacert.pem");

zxcmehran

Answer 12

2

Pracowałem nad środowiskiem

deweloperskim

Answer 13

2

Dobry do testowania na dev env

Gaurav Rai,

Answer 14

To okropna rada i odpowiedź powinna zostać usunięta.

miken32

Answer 15

4

@ miken32 tak, a następnie proponuję alternatywne bezpieczne rozwiązanie jako zamiennik niebezpiecznego obejścia. Czytaj dalej do końca.

zxcmehran

Answer 16

Jeśli certyfikaty SSL nie są poprawnie zainstalowane w twoim systemie, możesz otrzymać ten błąd:

Błąd cURL 60: problem z certyfikatem SSL: nie można uzyskać certyfikatu lokalnego wystawcy.

Możesz rozwiązać ten problem w następujący sposób:

Pobierz plik ze zaktualizowaną listą certyfikatów z https://curl.haxx.se/ca/cacert.pem

Przenieś pobrany cacert.pemplik w jakieś bezpieczne miejsce w systemie

Zaktualizuj php.iniplik i skonfiguruj ścieżkę do tego pliku:

Answer 17

Być może będziesz musiał ustawić openssl.cafile="C:/dev/ssl/mywebsite.local.crt"w php.ini

François Breton

Answer 18

3

Ważne: ten problem doprowadzał mnie do szału na kilka dni i nie mogłem dowiedzieć się, co się dzieje z moimi instalacjami curl i openssl. W końcu zorientowałem się, że to mój pośredni certyfikat (w moim przypadku GoDaddy) był nieaktualny. Wróciłem do panelu administracyjnego SSL godaddy, pobrałem nowy certyfikat pośredni i problem zniknął.

Jestem pewien, że to jest problem dla niektórych z was.

Najwyraźniej GoDaddy zmienił w pewnym momencie swój certyfikat pośredni z powodu problemów z bezpieczeństwem, ponieważ teraz wyświetla to ostrzeżenie:

„Pamiętaj, aby używać nowych certyfikatów pośrednich SHA-2 zawartych w pobranym pakiecie”.

Mam nadzieję, że to pomoże niektórym z was, ponieważ oszalałem i to rozwiązało problem na WSZYSTKICH moich serwerach.

Zawietrzny
źródło

Chociaż nie jest to dokładnie związane z pytaniem, może ogólnie przedstawiać sensowne informacje.

peter.hrasko.sk

Komunikaty o błędach generowane przez curl mogą czasami być zagadkowe i wprowadzające w błąd. Jestem pewien, że niektórzy ludzie, którzy otrzymywali błąd „certyfikatu z podpisem własnym”, otrzymywali go z powodu przytoczonego przeze mnie dziwactwa. Chciałem również dodać, że podczas budowania curl użyłem ciągu konfiguracyjnego: ./configure --with-ca-bundle = / etc / ssl / certs / ca-bundle.crt, a także użyłem skryptu perl lib / mk -ca-bundle.pl, aby wygenerować ładny, świeży plik ca-bundle.crt. Używałem serwera WWW Apache, ale nie zastąpiłem istniejącego certyfikatu pośredniego zaktualizowanym certyfikatem GoDaddy.

Lee

Answer 19

Chociaż nie jest to dokładnie związane z pytaniem, może ogólnie przedstawiać sensowne informacje.

peter.hrasko.sk

Answer 20

Komunikaty o błędach generowane przez curl mogą czasami być zagadkowe i wprowadzające w błąd. Jestem pewien, że niektórzy ludzie, którzy otrzymywali błąd „certyfikatu z podpisem własnym”, otrzymywali go z powodu przytoczonego przeze mnie dziwactwa. Chciałem również dodać, że podczas budowania curl użyłem ciągu konfiguracyjnego: ./configure --with-ca-bundle = / etc / ssl / certs / ca-bundle.crt, a także użyłem skryptu perl lib / mk -ca-bundle.pl, aby wygenerować ładny, świeży plik ca-bundle.crt. Używałem serwera WWW Apache, ale nie zastąpiłem istniejącego certyfikatu pośredniego zaktualizowanym certyfikatem GoDaddy.

Lee

Answer 21

Błąd: problem z certyfikatem SSL: certyfikat z podpisem własnym w łańcuchu certyfikatów

Solution:
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);    
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);
curl_setopt($ch, CURLOPT_FAILONERROR, 1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);

Błąd zwijania 60, problem z certyfikatem SSL: certyfikat z podpisem własnym w łańcuchu certyfikatów

Odpowiedzi: