Последствия безопасности отключения CURLOPT_SSL_VERIFYHOST (libcurl / openssl)

Каковы последствия безопасности для включения CURLOPT_SSL_VERIFYPEER и отключения CURLOPT_SSL_VERIFYHOST ?

  • CURLOPT_SSL_VERIFYPEER проверяет, что удаленный сертификат действителен, т. Е. Вы доверяете, что он был выпущен CA, которому вы доверяете, и что он является подлинным.

  • CURLOPT_SSL_VERIFYHOST проверяет, был ли сертификат выдан сущности, с которой вы хотели поговорить.

Чтобы сравнить это с реальным сценарием, VERIFYPEER похож на проверку того, что форма идентификатора – это тот, который вы признаете (например, паспорт из страны, которой вы доверяете, персональная карточка от компании, которую вы знаете, …). VERIFYHOST похож на проверку фактического имени на карточных матчах, с которым вы хотели поговорить.

Если вы не используете VERIFYHOST (правильное значение равно 2, а не 1, btw), вы отключите проверку имени узла и откройте дверь для атак MITM: любой, у кого есть идентификатор, которому вы доверяете, может выдавать себя за кого-либо из набора идентификаторов, которые вы доверие, например, любой, у кого есть действующий паспорт, может претендовать на то, что он кто-то еще с действующим паспортом.

  • Избегайте ввода пароля для ключей и подсказок для информации о DN
  • Использование самозаверяющего сертификата с .NET HttpWebRequest / Response
  • Возможно ли преобразовать SSL-сертификат из файла .key в .pfx?
  • Безопасное исправление: javax.net.ssl.SSLPeerUnverifiedException: нет однорангового сертификата
  • создать надежный самоподписанный SSL-сертификат для localhost (для использования с Express / Node)
  • Java: загрузка SSL Keystore через ресурс
  • Возможно ли иметь сертификат SSL для IP-адреса, а не доменное имя?
  • Как создать самозаверяющий сертификат с помощью SubjectAltName с помощью OpenSSL?
  • Как сказать Maven игнорировать ошибки SSL (и доверять всем сертификатам)?
  • Сертификаты SSL привязаны к IP-адресу серверов?
  • Вызывается: java.security.UnrecoverableKeyException: невозможно восстановить ключ
  • Давайте будем гением компьютера.