Comment résoudre les problèmes d'autorité de certification PHP Curl HTTPS sous Windows

Une requête HTTPS réussie implique que le client HTTP valide le Certificat TLS fourni par le serveur par rapport à une liste de racines connues et fiables certificats. L'extension PHP Curl n'est pas différente ; la boucle L'extension utilise libcurl pour effectuer la requête HTTPS, et libcurl, qui à son tour utilise une bibliothèque TLS telle qu'OpenSSL pour valider la requête.

L'extension Curl nécessite un fichier valide contenant tout le certificats racines de confiance pour terminer la validation HTTPS et PHP expose cela sous forme de directive dans le fichier php.ini.

Sous Linux, BSD et macOS, libcurl peut utiliser par défaut la racine du système certificats, mais cela n'est pas possible sous Windows car Windows ne ne vient pas avec un seul fichier contenant toute la racine du système certificats.

Cet article traite de deux approches possibles pour réussir à effectuer des requêtes HTTPS avec l'extension Curl, et de ce qu'il ne faut pas faire qui peut laisser les requêtes HTTPS non sécurisées.

Pourquoi cela échoue

$ch = curl_init('https://php.watch');  
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
curl_exec($ch); // false  

curl_error($ch);
// SSL certificate problem: unable to get local issuer certificate

Si les appels curl_exec échouent avec une fausse réponse, et si curl_error indique un problème de certificat SSL : impossible d'obtenir une erreur de certificat de l'émetteur local, cela signifie que Curl n'a pas reçu de fichier contenant les certificats racine, ou n'a pas pu le découvrir.

Cette erreur est rare sur les systèmes Linux, BSD et macOS, mais assez courant sous Windows car il n'y a pas de fichier désigné pour obtenir la racine certificats, et PHP ne fournit pas de liste de certificats racine sur son propre.

La solution est de fournir un fichier contenant le root à jour certificats, ou idéalement, laissez Curl analyser le magasin racine natif que le système d'exploitation sous-jacent fournit.

Utiliser les autorités de certification natives

Sur Curl 7.71 et versions ultérieures, il est possible de définir un Curl option pour demander à Curl d'utiliser les certificats racine natifs (système). Cela fonctionne même sous Windows, où Curl analyse les certificats racine du système et les utilise.

Lorsque l'option CURLOPT_SSL_OPTIONS est définie sur CURLSSLOPT_NATIVE_CA ou un masque de bits contenant ces bits, Curl tente d'utiliser le natif magasin de certificats racine, sous réserve des capacités et des versions du bibliothèque TLS sous-jacente.

Il s'agit du correctif recommandé, si l'extension Curl est construite avec Curl 7.71 ou version ultérieure et PHP 8.2 et version ultérieure.

 $ch = curl_init('https://php.watch');
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
   curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
    curl_exec($ch);

Notez que l'extrait ci-dessus ne vérifie pas la La version Curl et le PHP version, et suppose que les exigences des versions PHP et Curl sont remplies. Le Voici un exemple montrant l'ajout conditionnel de l'option Curl :

$ch = curl_init('https://php.watch');  
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
if (defined('CURLSSLOPT_NATIVE_CA')  
  && version_compare(curl_version()['version'], '7.71', '>=')) {  
    curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
}  
curl_exec($ch);

Téléchargez et conservez un fichier cacert.pem

Pour les applications exécutées sur des versions PHP antérieures à 8.2 (où CURLSSLOPT_NATIVE_CA constante n'est pas disponible), ou lorsque la version de Curl est antérieure à 7.71, la solution alternative recommandée est de télécharger un fichier compatible Curl fichier de certificat racine et configurez PHP ou la requête Curl pour l'utiliser.

Le projet Curl tient à jour une liste de certificats. Voir Certificats CA extraits de Mozilla.

1. Téléchargez le fichier cacert.pem

2. Déplacez le fichier vers un répertoire accessible par PHP et le serveur web. Par exemple, vers C:/php/cacert.pem.

3. Modifiez le fichier php.ini et modifiez l'entrée curl.cainfo pour pointer vers le chemin absolu vers le fichier cacert.pem.

4. $ch = curl_init('https://php.watch');  
   curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
   curl_exec($ch); // false  
   
   curl_error($ch);
   // SSL certificate problem: unable to get local issuer certificate

5. Facultativement, redémarrez le serveur Web (tel qu'Apache) pour recharger l'INI fichier.
   

L'inconvénient de cette approche est que le fichier cacert.pem doit être mis à jour régulièrement. Le cacert.pem Le fichier fourni par le projet Curl, par exemple, est extrait de la racine magasin maintenu par Mozilla. En moyenne, cette liste et le fichier obtiennent mis à jour 4 à 5 fois par an. Pour garantir la compatibilité avec la dernière version root liste des certificats, assurez-vous de mettre à jour la copie locale de ce fichier régulièrement

S'il n'est pas possible de modifier le fichier INI, précisez également le chemin absolu du fichier cacert.pem dans une requête Curl :

 $ch = curl_init('https://php.watch');
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
   curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
    curl_exec($ch);

Sur PHP 8.2  avec Curl 7.77 , il est possible d'obtenir une chaîne contenant le contenu de cacert.pem avec l'option CURLOPT_CAINFO_BLOB.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!