Назначение комплекта CA Root Certificates?
Я наблюдал, как Рэй Вильялобос демонстрирует, как работать с изменениями в Twitter API 1.1 с помощью PHP. Во время видео он положил этот сертификат на сервер. У меня вопрос, какова цель использования этого сертификата?
2 ответа
Я верю, потому что он использует библиотеку tmhOAuth.
На веб-сайте tmhOAuth говорится: "Версия 0.60 укрепила безопасность библиотеки и по умолчанию установила curl_ssl_verifypeer. Поскольку некоторые провайдеры хостинга не предоставляют самый последний корневой файл сертификата, он теперь включен в этот репозиторий".
Таким образом, поскольку cURL подключается к странице HTTPS, он должен использовать сертификат SSL.
Файл cacert.pem содержит текущие (на конец прошлого года) корневые сертификаты для всех центров сертификации для сайтов SSL/TLS. Это такие компании, как VeriSign, Thawte, GeoTrust и т. Д., Которые продают "услугу" подписания ключей шифрования для коммерческих веб-сайтов. Например, банки, Google, Facebook и все другие сайты, которые не только хотят иметь безопасное соединение между своими серверами и клиентами, но и хотят, чтобы их ключи SSL распознавались браузерами, которые используют люди.
Этот файл используется Mozilla в своих браузерах (Firefox, Seamonkey и другие). Корневые сертификаты в файле были использованы для подписи ключей шифрования веб-сайтов, которые оплатили услугу. Обычно сертификационный орган требует определенных усилий, чтобы люди, подписавшие подпись, действительно владели доменом и данным веб-сайтом. Поэтому, когда пользователь Интернета, использующий, например, Firefox, посещает защищенный веб-сайт, браузер проверяет ключи шифрования для соединения и проверяет, что они были подписаны одним из корневых сертификатов, которые он имеет в записи. Если ключи были подписаны, то пользователь видит замок и какое-то приятное и пушистое сообщение о безопасности сайта. Если ключи не были подписаны, то пользователь видит огромные предупреждающие сообщения, и они должны действовать на свой страх и риск.
Рэй Вильялобос намерен использовать файл Mozilla для включения в код PHP того же типа, что и в настоящее время в браузерах Mozilla (а также в Thunderbird, поскольку он подключается к сети для получения плагинов и RSS-каналов).
Однако следует отметить, что ключ SSL или TLS, подписанный одним из этих корневых сертификатов, не гарантируется как безопасный в силу сертификации. Безопасность соединения полностью зависит от ключей шифрования, сгенерированных на каждом сервере (и что конечные пользователи постоянно обновляют свое программное обеспечение и некоторые другие вещи). Все свидетельства о сертификации действительно доказывают, что кто-то заплатил одному из Удостоверяющих органов немного денег, заполнил некоторые формы и рискнул навредить себе, если они лгали (некоторые из них).