Cập nhật yêu cầu PHP cURL từ SSLv3 thành TLS ..?

Question

Do số recent vulnerability discovered in SSLv3, nhiều nhà cung cấp dịch vụ web (ví dụ: PayPal, Facebook, Google) đang vô hiệu hóa điều đó và muốn chúng tôi sử dụng TLS thay thế. Tôi đang gặp một chút rắc rối khi tìm ra cách để làm điều này.

Tôi hiện đang sử dụng chức năng sau để xử lý các yêu cầu cURL của mình.

function CURLRequest($Request = "", $APIName = "", $APIOperation = "", $PrintHeaders = false) 
{ 
    $curl = curl_init(); 
      curl_setopt($curl, CURLOPT_VERBOSE, 1); 
      curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, FALSE); 
      curl_setopt($curl, CURLOPT_TIMEOUT, 30); 
      curl_setopt($curl, CURLOPT_URL, $this->EndPointURL); 
      curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); 
      curl_setopt($curl, CURLOPT_POSTFIELDS, $Request); 

    if($this->APIMode == 'Certificate') 
    { 
     curl_setopt($curl, CURLOPT_SSLCERT, $this->PathToCertKeyPEM); 
    } 

    $Response = curl_exec($curl); 

    /* 
    * If a cURL error occurs, output it for review. 
    */ 
    if($this->Sandbox) 
    { 
     if(curl_error($curl)) 
     { 
      echo curl_error($curl).'<br /><br />'; 
     } 
    } 

    curl_close($curl); 
    return $Response; 
} 

Khi tôi cố gắng đánh sandbox của PayPal, tuy nhiên, nơi họ đã bị vô hiệu hóa này, tôi kết thúc với một lỗi cURL: lỗi: 14.077.410: thói quen SSL: SSL23_GET_SERVER_HELLO: SSLv3 cảnh báo bắt tay thất bại

Thông tin mà tôi đã tìm thấy là tôi chỉ cần thay đổi điều này để sử dụng TLS thay vì SSL và các câu trả lời khác mà tôi đã thấy nói đơn giản chỉ bằng cách thêm tùy chọn curl vào chức năng của tôi ...

curl_setopt($curl, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1); 

Tôi đã thêm tha t tùy chọn, mặc dù, và tôi vẫn nhận được kết quả chính xác tương tự. Bất kỳ thông tin về cách tôi có thể làm việc này sẽ được đánh giá cao. Cảm ơn!

Answer 1

sao chép từ: SSL error can not change to TLS

Cố gắng thêm curl_setopt($curl, CURLOPT_SSL_CIPHER_LIST, 'TLSv1'); mã của bạn.

Điều này sẽ có tác dụng nếu bạn curl là OpenSSL libssl dựa nhưng không phải nếu NSS dựa.

Answer 2

Một giải pháp tốt hơn cho đến khi Paypal cập nhật SDK lõi của nó sẽ ghi đè trực tiếp CURLOPT_SSL_CIPHER_LIST trong ứng dụng của bạn. Bằng cách này bạn không phải can thiệp vào gói sdk-core-php trực tiếp và bạn sẽ được tự do nâng cấp nó trong tương lai.

Bạn có thể thêm một cái gì đó như sau logic bootstrap hoặc thanh toán xử lý của ứng dụng của bạn:

PPHttpConfig::$DEFAULT_CURL_OPTS[CURLOPT_SSL_CIPHER_LIST] = 'TLSv1'; 

Chỉ cần chắc chắn bạn nhận xét nó kỹ lưỡng và nhớ để lấy nó ra sau khi vấn đề đã được vá trong lõi .

Answer 3

Tôi vừa giải quyết cập nhật thư viện nss qua thiết bị đầu cuối.

Answer 4

Nếu phần trên không có tác dụng, hãy kiểm tra phiên bản OPENSSL. Có khả năng là do phiên bản OPENSSL < = 0.9.8. Việc cập nhật lên PHP7 giúp, với phiên bản cao hơn của OPENSSL.