php - 这有意义吗：验证公共 SSL 证书？

我试图弄清楚以下情况是否有意义。

背景资料

我正在构建一个通过 Guzzle 进行大量 REST API 调用的 PHP 平台。我真的需要确保连接是有效的，所以除了 API 授权、NAT 防火墙和有效的 HTTPS/SSL 连接之外，我还想在我们的应用程序中构建一些检查。例如，我还在验证连接来自 API 服务提供的有效 IP 子网。

问题

然后我开始查看我们正在使用的 API 服务提供的 SSL 证书。当然，安全性基于公钥/私钥，我看不到该服务使用的私钥，但我能做的是确保公钥证书仍然与我可以在本地存储的证书相同。

现在我不知道这是否有意义？我在这里的假设是，这些组织的证书只会每两年更改一次。而且我知道它不会验证任何东西，因为我不拥有私钥，但它仍然是一个额外的检查。

实际的

然后是实际的一面，是否有可能，使用openssl s_client我能够获得 API 使用的证书。但是 Guzzle 提供的验证选项是基于 .PEM 文件并使用私钥的，对吗？

// Use a custom SSL certificate on disk.
$client->request('GET', '/', ['verify' => '/path/to/cert.pem']);

那么在 Guzzle 或基本 CURL 中是否有可能，它是否有意义，或者这只是一种虚假的安全感？

标签： phpcurlopensslssl-certificateguzzle

服务提供者的公钥允许你做两件事：

没有人会提供他们的私钥。这将破坏密钥是私有的目的。但是，证书的整个想法是提供由受信任的根证书颁发机构（例如 Verisign）签名的公钥。此类受信任的根权限已预先安装在您的操作系统上或由系统管理员添加。

如果有人操纵 DNS 以误导您连接到假主机，则不会建立加密连接，因为假服务器将无法解密您的消息，因为他没有正确的私钥。

您不需要存储任何东西。连接后，收到证书后，您可以即时验证有效性：如前所述，如果证书是由存储在您的计算机上并受信任的受信任的根证书颁发机构颁发的，那么您就可以开始了。