PHP cURL 默认不验证SSL证书是因环境缺少CA证书或未配置CURLOPT_CAINFO,而非cURL本身默认禁用;必须同时设置CURLOPT_SSL_VERIFYPEER=>true、CURLOPT_SSL_VERIFYHOST=>2及有效的CURLOPT_CAINFO路径才能确保安全。
PHP cURL 请求默认不验证 SSL 证书?
不是“默认不验证”,而是 curl_setopt() 的默认行为取决于 PHP/cURL 编译时的配置和系统 CA 证书路径。很多开发环境(尤其是 Windows 或 Docker 容器)缺少可信 CA 证书包,或未正确设置 CURLOPT_CAINFO,导致 curl_exec() 实际跳过证书链校验——表面成功,实则存在中间人风险。
关键判断点:只要没显式启用证书验证,就不能认为 SSL 是安全的。常见错误是只设了 CURLOPT_SSL_VERIFYPEER => true,却没配 CURLOPT_CAINFO,此时 cURL 会静默失败(返回空或 false),但部分旧版本可能回退为不验证。
-
CURLOPT_SSL_VERIFYPEER => true:必须开启,否则不校验证书有效性 -
CURLOPT_SSL_VERIFYHOST => 2:必须为 2(验证域名匹配),设为 1 已被弃用且不严格 -
CURLOPT_CAINFO必须指向有效的 PEM 格式 CA 证书文件(如 Mozilla 的curl-ca-bundle.crt) - 若用
CURLOPT_CAPATH,需确保目录内证书已用c_rehash建索引
如何获取并指定可靠的 CA 证书文件?
别用自己随便下载的 crt 文件,优先复用系统或权威来源。Linux/macOS 通常已有系统级 CA 存储,PHP 可能未自动识别;Windows 和容器环境更常出问题。
- 推荐直接使用官方维护的
ca-bundle.crt:https://www.php.cn/link/5fe4dadcdb001d8566cd20e6d8a20251,保存为本地文件(如/path/to/cacert.pem) - Linux 上可尝试:
/etc/ssl/certs/ca-certificates.crt(Debian/Ubuntu)或/etc/pki/tls/certs/ca-bundle.crt(RHEL/CentOS) - macOS(Homebrew OpenSSL):检查
$(brew --prefix openssl)/share/certs/ca-bundle.crt - Docker 中建议 COPY 进镜像,而非依赖基础镜像自带——很多 alpine 镜像的 ca-certificates 包不被 cURL 自动发现
示例代码片段:
立即学习“PHP免费学习笔记(深入)”;
$ch = curl_init('https://api.example.com');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);
curl_setopt($ch, CURLOPT_CAINFO, '/path/to/cacert.pem'); // ⚠️ 这行不能少
$response = curl_exec($ch);
if ($response === false) {
error_log('cURL error: ' . curl_error($ch));
}
curl_close($ch);
file_get_contents() + stream_context_create() 怎么配 SSL 验证?
它底层也走 OpenSSL,但配置项名称不同,容易漏掉关键参数。默认情况下 file_get_contents() 对 HTTPS 请求不验证证书,除非你明确设置上下文。
-
verify_peer对应 cURL 的CURLOPT_SSL_VERIFYPEER,必须设为true -
verify_peer_name必须为true(等效于CURLOPT_SSL_VERIFYHOST => 2) -
cafile必须指定,不能只靠capath - 若遇到
SSL operation failed with code 1,大概率是cafile路径错或文件不可读
示例:
$opts = [
'http' => ['method' => 'GET'],
'ssl' => [
'verify_peer' => true,
'verify_peer_name' => true,
'cafile' => '/path/to/cacert.pem',
'crypto_method' => STREAM_CRYPTO_METHOD_TLSv1_2_CLIENT,
]
];
$ctx = stream_context_create($opts);
$content = file_get_contents('https://api.example.com', false, $ctx);
为什么有些请求明明配了 CAINFO 还报 “unable to get local issuer certificate”?
这不是 PHP 或 cURL 的 bug,而是证书链不完整。目标服务器只发了终端证书(leaf cert),没发中间证书(intermediate CA),而你的 cacert.pem 里没有那个签发它的上级 CA。
排查步骤:
- 用浏览器打开目标网址 → 点地址栏锁图标 → 查看证书 → 导出整个证书链(含中间证书)
- 用
openssl s_client -connect api.example.com:443 -showcerts看实际返回的证书顺序 - 确认你用的
cacert.pem是否包含该中间 CA(可用grep -A1 "CN =.*Intermediate" /path/to/cacert.pem快速筛查) - 临时解决:把缺失的中间证书追加到你的
cacert.pem末尾(PEM 格式,以-----BEGIN CERTIFICATE-----开头)
注意:不要禁用 verify_peer 来绕过——那等于放弃 TLS 安全性本质。
