周末,Sectigo AddTrust External CA Root 过期了。对于现代浏览器,这对受影响网站的用户应该没有任何影响。
我们的 PHP 应用程序连接到我们无法控制的站点,该站点在其证书包中包含此过期的根目录。我们使用 curl 进行连接,并验证证书。但是由于此根现在已过期,因此 curl 现在拒绝连接,并出现证书已过期的错误。
在https://addtrustchain.test.certificatetest.com/有一个示例站点表现出相同的行为
表现出相同行为的示例代码是
$ch = curl_init();
$url = 'https://addtrustchain.test.certificatetest.com/';
//$url = 'https://google.com';
$caPath = '/path/to/cacert.pem';
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch,CURLOPT_SSL_VERIFYPEER, true);
curl_setopt($ch,CURLOPT_SSL_VERIFYHOST, 2);
curl_setopt($ch,CURLOPT_CAINFO, $caPath);
$output = curl_exec($ch);
var_dump($output);
var_dump(curl_getinfo($ch));
var_dump(curl_errno($ch));
var_dump(curl_error($ch));
curl_close($ch);
php 端是否有解决方法,我们可以忽略捆绑包中提供的过期根证书?我们正在尝试与另一方的各方合作,从他们的捆绑包中删除/更新过期的根目录,但如果下次出现这种情况时能有我们这边的解决方案就太好了。
我已尝试更新我们的本地 cacert.pem 以包括实际证书本身和提供的中介,但这些似乎都无法解决问题。