PHP versteht multi-domain Zertifikate nicht

26/08/2014 - 11:26 von Justus Hoffmann | Report spam
Hallo liebe Newsgroup!

Ich möchte mit einem PHP-Skript einen IMAP-Account über SSL abfragen:

$srv = '{mail.myhost.com:993/imap/ssl}';
$x=imap_open($srv, $user, $pass);

Leider schlàgt der Zertifikatscheck fehl, obwohl das Zertifikat in Ordnung ist:

Certificate failure for mail.myhost.com: Unable to locate common name in
certificate: /OU=Domain Control Validated/OU=PositiveSSL Multi-Domain

Wenn ich die Option "novalidate-cert" anfüge, funktioniert das Skript. Dann wàren allerdings Man-in-the-middle Attacken möglich, weil das Skript wohl einfach jedes Zertifikat annehmen würde.

Das Problem scheint zu sein, dass es sich um ein "multi-domain"-Zertifikat handelt. Kollegen sagen mir, dass PHP damit nicht umgehen kann.

Stimmt das? Muss ich wirklich die "novalidate-cert"-Option verwenden?
Oder gibt es einen Workaround?

Vielen Dank!
Justus
 

Lesen sie die antworten

#1 Thomas Hochstein
26/08/2014 - 12:38 | Warnen spam
Justus Hoffmann schrieb:

Das Problem scheint zu sein, dass es sich um ein
"multi-domain"-Zertifikat handelt.



Also ein Zertifikat mit "Subject Alternative Names" (SAN).

Kollegen sagen mir, dass PHP damit nicht umgehen kann.



Das kann gut sein.

Die IMAP-Erweiterung von PHP kann, soweit ich sehe, seit diesem
Commit:
<http://git.php.net/?p=php-src.git;a=commit;h70b964430a357d9c9acf01268849d86a99f4ec>
grundsàtzlich mit SAN umgehen, also seit 08.10.2013.

Allerdings scheint - soweit ich das auf die schnelle nachvollziehen
kann - diese Änderung noch nicht released zu sein, sondern ist erst
für PHP 5.6 vorgesehen. Der Entwicklungszweig (Branch) für PHP 5.x
enthàlt diese Änderung jedenfalls nicht, und auch in den Release-Notes
steht dazu bisher nichts.

Stimmt das?



Soweit nachvollziehbar: ja.

Muss ich wirklich die "novalidate-cert"-Option verwenden?
Oder gibt es einen Workaround?



Ich sehe derzeit keinen, bin aber auch weit davon entfernt, mich mit
(dieser Ecke von) PHP gut auszukennen.

Grüße,
-thh
/'\ JOIN NOW!
\ / ASCII ribbon campaign
X against HTML
/ \ in mail and news

Ähnliche fragen