如何檢查主機名稱是否與PHP中的SSL證書中的通用名稱匹配？

Question

使用此PHP腳本

<?php 
$ch = curl_init(); 
curl_setopt($ch, CURLOPT_HTTPGET, true); 
curl_setopt($ch, CURLOPT_URL, 'https://sf.net/'); 
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); 
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2); 
if (!curl_exec($ch)) { 
    echo "Error #" . curl_errno($ch) . ": " . curl_error($ch); 
} 
?> 

我沒有錯誤。這似乎是好的。

預期結果應該顯示一條錯誤消息，指出證書名稱sourceforge.net與期望的sf.net不符。你怎麼看？

Answer 1

如果您訪問sf.net，您將獲得sf.net的證書而不是sourceforge.net。 sf.net的證書有CN *.sf.net和SAN DNS:*.sf.net, DNS:sf.net。這意味着證書與URL匹配。不要從以下重定向到sourceforge.net，因爲在這個重定向它會得到一個新的證書是有效的新目標。

除此之外，通過將CURLOPT_SSL_VERIFYPEER設置爲false，您將接受任何證書，而不管它是否由本地可信CA頒發。並且這對你設置CURLOPT_SSL_VERIFYHOST沒有幫助，因爲在兩種設置相結合的情況下，你將接受名爲sf.net的自簽名證書，這使得中間人攻擊變得微不足道。