Estoy usando XAMPP para el desarrollo. Recientemente actualicé mi instalación de xampp de una versión anterior a 1.7.3.

Ahora, cuando rizo los sitios habilitados para HTTPS, obtengo la siguiente excepción

Error grave: excepción no detectada 'RequestCore_Exception' con el mensaje 'recurso cURL: ID de recurso # 55; Error de cURL: problema con el certificado SSL, verifique que el certificado de CA esté bien. Detalles: error: 14090086: rutinas SSL: SSL3_GET_SERVER_CERTIFICATE: verificación de certificado fallida (60) '

Todos sugieren usar algunas opciones de rizo específicas del código PHP para solucionar este problema. Creo que este no debería ser el camino. Porque no tuve ningún problema con mi versión anterior de XAMPP y sucedió solo después de instalar la nueva versión.

Necesito ayuda para determinar qué cambios de configuración en mi instalación de PHP, Apache, etc. pueden solucionar este problema.

curl solía incluir una lista de CA aceptadas, pero ya no incluye CUALQUIER certificado de CA. Entonces, por defecto, rechazará todos los certificados SSL como no verificables.

Tendrás que obtener el certificado de tu CA y apuntarlo. Más detalles en Detalles de cURLS sobre certificados SSL de servidor .

Es un problema bastante común en Windows. Es necesario sólo para conjunto cacert.pemdecurl.cainfo .

Desde PHP 5.3.7 podrías hacer:

1. descarga https://curl.haxx.se/ca/cacert.pem y guárdelo en algún lugar.
2. actualización php.ini: agregue curl.cainfo = "PATH_TO / cacert.pem"

De lo contrario, deberá hacer lo siguiente para cada recurso cURL:

curl_setopt ($ch, CURLOPT_CAINFO, "PATH_TO/cacert.pem");

Advertencia: esto puede presentar problemas de seguridad contra los cuales SSL está diseñado para proteger, lo que hace que toda su base de código sea insegura. Va en contra de todas las prácticas recomendadas.

Pero una solución realmente simple que funcionó para mí fue llamar:

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

antes de llamar:

curl_exec():

en el archivo php

Creo que esto deshabilita toda verificación de certificados SSL.

Fuente: http://ademar.name/blog/2006/04/curl-ssl-certificate-problem-v.html

Curl: problema con el certificado SSL, verifique que el certificado CA esté bien

07 de abril de 2006

Al abrir una url segura con Curl, puede obtener el siguiente error:

Problema con el certificado SSL, verifique que el certificado CA esté bien

Explicaré por qué el error y qué debes hacer al respecto.

La forma más fácil de deshacerse del error sería agregar las siguientes dos líneas a su secuencia de comandos. Esta solución plantea un riesgo de seguridad aunque.

//WARNING: this would prevent curl from detecting a 'man in the middle' attack
curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0); 

Veamos qué hacen estos dos parámetros. Citando el manual.

CURLOPT_SSL_VERIFYHOST : 1 para verificar la existencia de un nombre común en el certificado de igual SSL. 2 para verificar la existencia de un nombre común y también verificar que coincida con el nombre de host proporcionado.

CURLOPT_SSL_VERIFYPEER : FALSE para evitar que CURL verifique el certificado del par. Los certificados alternativos para verificar se pueden especificar con la opción CURLOPT_CAINFO o se puede especificar un directorio de certificados con la opción CURLOPT_CAPATH. CURLOPT_SSL_VERIFYHOST también puede necesitar ser VERDADERO o FALSO si CURLOPT_SSL_VERIFYPEER está deshabilitado (el valor predeterminado es 2). Establecer CURLOPT_SSL_VERIFYHOST en 2 (este es el valor predeterminado) garantizará que el certificado que se le presente tenga un 'nombre común' que coincida con la URN que está utilizando para acceder al recurso remoto. Este es un chequeo saludable pero no garantiza que su programa no esté siendo engañado.

Introduzca el 'hombre en el medio'

En su lugar, se podría confundir su programa para hablar con otro servidor. Esto se puede lograr a través de varios mecanismos, como dns o envenenamiento por arpa (esta es una historia para otro día). El intruso también puede auto-firmar un certificado con el mismo "nombre común" que su programa espera. La comunicación aún estaría encriptada, pero estarías revelando tus secretos a un impostor. Este tipo de ataque se llama 'hombre en el medio'

Derrotar al 'hombre en el medio'

Bueno, necesitamos verificar que el certificado que se nos presenta es bueno de verdad. Hacemos esto comparándolo con un certificado en el que confiamos * de manera razonable.

Si el recurso remoto está protegido por un certificado emitido por una de las principales entidades emisoras de certificados como Verisign, GeoTrust et al, puede comparar con seguridad con el paquete de certificados de CA de Mozilla que puede obtener de http://curl.haxx.se/docs/caextract .html

Guarde el archivo cacert.pemen algún lugar de su servidor y configure las siguientes opciones en su secuencia de comandos.

curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, TRUE); 
curl_setopt ($ch, CURLOPT_CAINFO, "pathto/cacert.pem");

para todo el crédito de información anterior va a: http://ademar.name/blog/2006/04/curl-ssl-certificate-problem-v.html

Las soluciones anteriores son geniales, pero si está utilizando WampServer, es posible que la configuración de la curl.cainfovariable php.inino funcione.

Finalmente encontré que WampServer tiene dos php.iniarchivos:

C:\wamp\bin\apache\Apachex.x.x\bin
C:\wamp\bin\php\phpx.x.xx

Aparentemente, el primero se usa para cuando se invocan archivos PHP a través de un navegador web, mientras que el segundo se usa cuando se invoca un comando a través de la línea de comando o shell_exec().

TL; DR

Si usa WampServer, debe agregar la curl.cainfolínea a ambos php.ini archivos.

Por el amor de todo lo que es santo ...

En mi caso, tuve que establecer la openssl.cafilevariable de configuración de PHP en la ruta del archivo PEM.

Confío en que es muy cierto que hay muchos sistemas en los que establecer curl.cainfola configuración de PHP es exactamente lo que se necesita, pero en el entorno con el que estoy trabajando, que es el contenedor acoplador eboraas / laravel , que usa Debian 8 (jessie) y PHP 5.6, establecer esa variable no funcionó.

Noté que la salida de php -ino mencionaba nada sobre esa configuración de configuración en particular, pero tenía algunas líneas al respecto openssl. Hay una opción openssl.capathy una openssl.cafile, pero solo configurar el segundo permite el rizo a través de PHP para finalmente estar bien con las URL HTTPS.

A veces, si la aplicación que intenta contactar tiene certificados autofirmados, el cacert.pem normal de http://curl.haxx.se/ca/cacert.pem no resuelve el problema.

Si está seguro acerca de la URL del punto final del servicio, hágalo a través del navegador, guarde el certificado manualmente en el formato "Certificado X 509 con cadena (PEM)". Apunte este archivo de certificado con el

curl_setopt ($ch, CURLOPT_CAINFO, "pathto/{downloaded certificate chain file}");   

Tengo el mismo error en Amazon AMI Linux.

He resuelto por el ajuste curl.cainfo en /etc/php.d/curl.ini

https://gist.github.com/reinaldomendes/97fb2ce8a606ec813c4b

Adición octubre 2018

En Amazon Linux v1 edite este archivo

vi /etc/php.d/20-curl.ini

Para agregar esta línea

curl.cainfo="/etc/ssl/certs/ca-bundle.crt"

Al configurar las opciones de curvatura para CURLOPT_CAINFO, recuerde usar comillas simples, usar comillas dobles solo causará otro error. Entonces su opción debería verse así:

curl_setopt ($ch, CURLOPT_CAINFO, 'c:\wamp\www\mywebfolder\cacert.pem');

Además, en su configuración de archivo php.ini debe escribirse como: (observe mis comillas dobles)

curl.cainfo = "C:\wamp\www\mywebfolder"

Lo puse directamente debajo de la línea que dice esto: extension=php_curl.dll

(Solo para fines de organización, puede colocarlo en cualquier lugar dentro de su php.ini, solo lo coloco cerca de otra referencia de rizo, así que cuando busco usando la palabra clave curl puedo encontrar ambas referencias de rizo en un área).

Terminé aquí cuando intentaba obtener GuzzleHttp (php + apache en Mac) para obtener una página de www.googleapis.com.

Aquí estaba mi solución final en caso de que ayude a alguien.

Mire la cadena de certificados para cualquier dominio que le esté dando este error. Para mí fue googleapis.com

openssl s_client -host www.googleapis.com -port 443

Volverás algo como esto:

Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.googleapis.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority

Nota: Capturé esto después de solucionar el problema, ya que la salida de su cadena puede verse diferente.

Entonces debes mirar los certificados permitidos en php. Ejecute phpinfo () en una página.

<?php echo phpinfo();

Luego busque el archivo de certificado que se carga desde la salida de la página:

openssl.cafile  /usr/local/php5/ssl/certs/cacert.pem

Este es el archivo que necesitará corregir agregando los certificados correctos.

sudo nano /usr/local/php5/ssl/certs/cacert.pem

Básicamente, debe agregar las "firmas" de certificados correctas al final de este archivo.

Puede encontrar algunos de ellos aquí: es posible que necesite buscar / buscar en Google otros en la cadena si los necesita.

• https://pki.google.com/
• https://www.geotrust.com/resources/root-certificates/index.html

Se ven así:

( Nota: esta es una imagen para que la gente no simplemente copie / pegue certificados de stackoverflow )

Una vez que los certificados correctos estén en este archivo, reinicie apache y pruebe.

Puede intentar reinstalar el ca-certificatespaquete o permitir explícitamente el certificado en cuestión como se describe aquí .

¡La solución es muy simple! Pon esta línea antes curl_exec:

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

Para mi funciona.