Salve a tutti!
Ho un dubbio riguardante la programmazione SSL in PHP. In sostanza, posso io server controllare che il client invii un certificato rilasciato da una authority "valida", e non uno autocostruito? O, nello scambio delle chiavi, è necessario che solo il server presenti un certificato "valido", permettendo al client di inviare quello che preferisce?
Powered by Linux
"Windows cerca di fare Unix e ci riesce male, Red Hat cerca di fare Windows e ci riesce benissimo" (Jimmy Olgeni)
normalmente sono cose che si fanno al livello webserver, nel caso di apache con direttive tipo SSLVerifyClient require, SSLRequire etc.
Pero' se proprio vuoi giocare al livello php, potresti impostare su apache la direttiva SSLOptions +StdEnvVars +ExportCertData, in questo modo avrai nelle variabili d'ambiente le cose tipo ou, cn ed anche i certificati server e client della connessione. E dopo puoi fare quello che vuoi al livello php, validare il certificato con le funzioni openssl, o restringere l'accesso in base alle varie perti dell'Issuer, subject, etc.
Ok, grazie mille!
Powered by Linux
"Windows cerca di fare Unix e ci riesce male, Red Hat cerca di fare Windows e ci riesce benissimo" (Jimmy Olgeni)
Permessi di invio
Rispondi quotando