Saya menggunakan XAMPP untuk pengembangan. Baru-baru ini saya memutakhirkan instalasi xampp dari versi lama ke 1.7.3.

Sekarang ketika saya mengeriting situs yang diaktifkan HTTPS saya mendapatkan pengecualian berikut

Kesalahan fatal: Pengecualian tanpa permintaan 'RequestCore_Exception' dengan pesan 'cURL resource: Resource id # 55; kesalahan CURL: masalah sertifikat SSL, verifikasi bahwa sertifikat CA OK. Detail: kesalahan: 14090086: Rutinitas SSL: SSL3_GET_SERVER_CERTIFICATE: verifikasi sertifikat gagal (60) '

Semua orang menyarankan menggunakan beberapa opsi ikal tertentu dari kode PHP untuk memperbaiki masalah ini. Saya pikir ini seharusnya tidak menjadi jalannya. Karena saya tidak punya masalah dengan versi lama XAMPP saya dan terjadi hanya setelah menginstal versi baru.

Saya perlu bantuan untuk mencari tahu perubahan pengaturan apa dalam instalasi PHP saya, Apache dll dapat memperbaiki masalah ini.

curl digunakan untuk memasukkan daftar CA yang diterima, tetapi tidak lagi bundel sertifikat CA APAPUN. Jadi secara default itu akan menolak semua sertifikat SSL sebagai tidak dapat diverifikasi.

Anda harus mendapatkan sertifikat CA dan curl point di sana. Lebih detail di Detail cURLS tentang Sertifikat SSL Server .

Ini masalah yang cukup umum di Windows. Anda perlu hanya untuk set cacert.pemke curl.cainfo.

Karena PHP 5.3.7 dapat Anda lakukan:

1. unduh https://curl.haxx.se/ca/cacert.pem dan simpan di suatu tempat.
2. perbarui php.ini- tambahkan curl.cainfo = "PATH_TO / cacert.pem"

Jika tidak, Anda harus melakukan yang berikut untuk setiap sumber daya CURL:

curl_setopt ($ch, CURLOPT_CAINFO, "PATH_TO/cacert.pem");

Peringatan: ini dapat menimbulkan masalah keamanan yang dirancang untuk dilindungi oleh SSL, menjadikan seluruh basis kode Anda tidak aman. Itu bertentangan dengan setiap praktik yang disarankan.

Tetapi perbaikan yang sangat sederhana yang berhasil bagi saya adalah menelepon:

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

sebelum menelepon:

curl_exec():

dalam file php.

Saya percaya ini menonaktifkan semua verifikasi sertifikat SSL.

Sumber: http://ademar.name/blog/2006/04/curl-ssl-certificate-problem-v.html

Curl: Masalah sertifikat SSL, verifikasi bahwa sertifikat CA adalah OK

07 April 2006

Saat membuka url aman dengan Curl Anda mungkin mendapatkan kesalahan berikut:

Masalah sertifikat SSL, verifikasi bahwa sertifikat CA OK

Saya akan menjelaskan mengapa kesalahan dan apa yang harus Anda lakukan.

Cara termudah untuk menghilangkan kesalahan adalah menambahkan dua baris berikut ke skrip Anda. Solusi ini menimbulkan risiko keamanan.

//WARNING: this would prevent curl from detecting a 'man in the middle' attack
curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0); 

Coba lihat apa yang dilakukan kedua parameter ini. Mengutip manual.

CURLOPT_SSL_VERIFYHOST : 1 untuk memeriksa keberadaan nama umum dalam sertifikat rekan SSL. 2 untuk memeriksa keberadaan nama umum dan juga memverifikasi bahwa itu cocok dengan nama host yang disediakan.

CURLOPT_SSL_VERIFYPEER : FALSE untuk menghentikan CURL dari memverifikasi sertifikat rekan. Sertifikat alternatif untuk diverifikasi dapat ditentukan dengan opsi CURLOPT_CAINFO atau direktori sertifikat dapat ditentukan dengan opsi CURLOPT_CAPATH. CURLOPT_SSL_VERIFYHOST mungkin juga harus TRUE atau FALSE jika CURLOPT_SSL_VERIFYPEER dinonaktifkan (standarnya adalah 2). Mengatur CURLOPT_SSL_VERIFYHOST ke 2 (Ini adalah nilai default) akan menjamin bahwa sertifikat yang disajikan kepada Anda memiliki 'nama umum' yang cocok dengan URN yang Anda gunakan untuk mengakses sumber daya jarak jauh. Ini adalah pemeriksaan yang sehat tetapi tidak menjamin program Anda tidak ditipu.

Masukkan 'pria di tengah'

Program Anda dapat disesatkan untuk berbicara dengan server lain sebagai gantinya. Ini dapat dicapai melalui beberapa mekanisme, seperti dns atau keracunan arp (Ini adalah cerita untuk hari lain). Penyusup juga dapat menandatangani sendiri sertifikat dengan 'nama bersama' yang sama dengan yang diharapkan oleh program Anda. Komunikasi masih akan dienkripsi tetapi Anda akan memberikan rahasia Anda kepada penipu. Serangan semacam ini disebut 'man in the middle'

Mengalahkan 'pria di tengah'

Ya, kita perlu memverifikasi bahwa sertifikat yang diberikan kepada kita itu benar-benar baik. Kami melakukan ini dengan membandingkannya dengan sertifikat yang kami percayai * masuk akal.

Jika sumber daya jarak jauh dilindungi oleh sertifikat yang dikeluarkan oleh salah satu CA utama seperti Verisign, GeoTrust et al, Anda dapat dengan aman membandingkan dengan bundel sertifikat CA Mozilla yang bisa Anda dapatkan dari http://curl.haxx.se/docs/caextract .html

Simpan file cacert.pemdi suatu tempat di server Anda dan atur opsi berikut dalam skrip Anda.

curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, TRUE); 
curl_setopt ($ch, CURLOPT_CAINFO, "pathto/cacert.pem");

untuk Semua Info Kredit di atas Pergi ke: http://ademar.name/blog/2006/04/curl-ssl-certificate-problem-v.html

Solusi di atas sangat bagus, tetapi jika Anda menggunakan WampServer Anda mungkin menemukan pengaturan curl.cainfovariabel dalam php.initidak berfungsi.

Saya akhirnya menemukan WampServer memiliki dua php.inifile:

C:\wamp\bin\apache\Apachex.x.x\bin
C:\wamp\bin\php\phpx.x.xx

Yang pertama tampaknya digunakan untuk ketika file PHP dipanggil melalui browser web, sedangkan yang kedua digunakan ketika perintah dipanggil melalui baris perintah atau shell_exec().

TL; DR

Jika menggunakan WampServer, Anda harus menambahkan curl.cainfobaris ke kedua php.ini file.

Untuk cinta semua yang suci ...

Dalam kasus saya, saya harus mengatur openssl.cafilevariabel konfigurasi PHP ke jalur file PEM.

Saya percaya sangat benar bahwa ada banyak sistem di mana pengaturan curl.cainfodalam konfigurasi PHP adalah persis apa yang dibutuhkan, tetapi di lingkungan saya bekerja dengan, yang merupakan eboraas / laravel wadah docker , yang menggunakan Debian 8 (jessie) dan PHP 5,6, pengaturan variabel itu tidak melakukan trik.

Saya perhatikan bahwa output dari php -itidak menyebutkan apa pun tentang pengaturan konfigurasi tertentu, tetapi memang memiliki beberapa baris tentang openssl. Ada keduanyaopenssl.capath dan openssl.cafileopsi, tetapi hanya mengatur yang kedua ikal diizinkan melalui PHP untuk akhirnya baik-baik saja dengan URL HTTPS.

Terkadang jika aplikasi yang Anda coba hubungi memiliki sertifikat yang ditandatangani sendiri, cacert.pem normal dari http://curl.haxx.se/ca/cacert.pem tidak menyelesaikan masalah.

Jika Anda yakin dengan url titik akhir layanan, tekan melalui browser, simpan sertifikat secara manual dalam format "X 509 sertifikat dengan rantai (PEM)". Arahkan file sertifikat ini dengan

curl_setopt ($ch, CURLOPT_CAINFO, "pathto/{downloaded certificate chain file}");   

Saya memiliki kesalahan yang sama pada linux AMI amazon.

Saya Dipecahkan dengan pengaturan curl.cainfo di /etc/php.d/curl.ini

https://gist.github.com/reinaldomendes/97fb2ce8a606ec813c4b

Penambahan Oktober 2018

Di Amazon Linux v1 edit file ini

vi /etc/php.d/20-curl.ini

Untuk menambahkan baris ini

curl.cainfo="/etc/ssl/certs/ca-bundle.crt"

Saat mengatur opsi ikal untuk CURLOPT_CAINFO harap ingat untuk menggunakan tanda kutip tunggal, menggunakan tanda kutip ganda hanya akan menyebabkan kesalahan lain. Jadi pilihan Anda akan terlihat seperti:

curl_setopt ($ch, CURLOPT_CAINFO, 'c:\wamp\www\mywebfolder\cacert.pem');

Selain itu, dalam pengaturan file php.ini Anda harus ditulis sebagai: (perhatikan tanda kutip ganda saya)

curl.cainfo = "C:\wamp\www\mywebfolder"

Saya meletakkannya langsung di bawah garis yang mengatakan ini: extension=php_curl.dll

(Untuk tujuan pengorganisasian saja, Anda bisa meletakkannya di mana saja di dalam Anda php.ini, saya hanya meletakkannya dekat dengan referensi curl lain, jadi ketika saya mencari menggunakan curl kata kunci, saya dapat menemukan kedua referensi curl di satu area.)

Saya berakhir di sini ketika mencoba untuk mendapatkan GuzzleHttp (php + apache di Mac) untuk mendapatkan halaman dari www.googleapis.com.

Inilah solusi terakhir saya jika itu membantu siapa pun.

Lihatlah rantai sertifikat untuk domain apa pun yang memberi Anda kesalahan ini. Bagi saya itu googleapis.com

openssl s_client -host www.googleapis.com -port 443

Anda akan mendapatkan sesuatu seperti ini:

Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.googleapis.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority

Catatan: Saya menangkap ini setelah saya memperbaiki masalah ini, untuk output rantai Anda mungkin terlihat berbeda.

Maka Anda perlu melihat sertifikat yang diizinkan dalam php. Jalankan phpinfo () di sebuah halaman.

<?php echo phpinfo();

Kemudian cari file sertifikat yang diambil dari output halaman:

openssl.cafile  /usr/local/php5/ssl/certs/cacert.pem

Ini adalah file yang harus Anda perbaiki dengan menambahkan sertifikat yang benar ke dalamnya.

sudo nano /usr/local/php5/ssl/certs/cacert.pem

Anda pada dasarnya perlu menambahkan "tanda tangan" sertifikat yang benar ke akhir file ini.

Anda dapat menemukannya di sini: Anda mungkin perlu mencari / mencari orang lain di rantai jika Anda membutuhkannya.

• https://pki.google.com/
• https://www.geotrust.com/resources/root-certificates/index.html

Mereka terlihat seperti ini:

( Catatan: Ini adalah gambar sehingga orang tidak akan hanya menyalin / menempelkan sertifikat dari stackoverflow )

Setelah sertifikat yang tepat ada di file ini, restart apache dan uji.

Anda dapat mencoba menginstal ulang ca-certificatespaket, atau secara eksplisit mengizinkan sertifikat yang dimaksud seperti dijelaskan di sini .

Solusinya sangat sederhana! Letakkan baris ini sebelumnya curl_exec:

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

Bagi saya itu berhasil.