CA 루트 인증서 번들 용도?

Question

나는 Ray Villalobos가 Twitter API 1.1 changes using PHP과 함께 작업하는 방법을 시연했다. 비디오 동안 그는 this certificate을 서버에 넣습니다. 제 질문은, this certificate을 사용하는 목적은 무엇입니까?

Answer 1

그가 tmhOAuth 라이브러리를 사용하고 있기 때문에 나는 믿습니다.

tmhOAuth 웹 사이트에서 "버전 0.60은 라이브러리의 보안을 강화하고 curl_ssl_verifypeer를 기본값으로 설정합니다. 일부 호스팅 제공 업체는 최신 인증서 루트 파일을 제공하지 않으므로 현재이 저장소에 포함되어 있습니다."

그래서 cURL은 HTTPS 페이지에 연결하기 때문에 SSL 인증서를 사용해야합니다.

Answer 2

cacert.pem 파일에는 SSL/TLS 사이트의 모든 인증 기관에 대한 현재 (지난 해 말 현재) 루트 인증서가 포함되어 있습니다. VeriSign, Thawte, GeoTrust 등의 회사가 상업용 웹 사이트의 암호화 키에 서명하는 "서비스"를 판매합니다. 은행, Google, Facebook 및 기타 모든 사이트는 서버와 고객 간의 보안 연결을 원할뿐만 아니라 사람들이 사용하는 브라우저에서 SSL 키를 인식하기를 원합니다.

이 파일은 Mozilla의 브라우저 (Firefox, Seamonkey 및 기타)에서 사용되는 파일입니다. 파일의 루트 인증서는 서비스 비용을 지불 한 웹 사이트의 암호화 키에 서명하는 데 사용되었습니다. 대개 서명을 수행하는 사람들이 실제로 문제의 도메인과 웹 사이트를 소유하고 있다는 것을 인증 기관 측에서 일정한 노력이 필요합니다. 따라서 예를 들어 Firefox를 사용하는 인터넷 사용자가 보안 웹 사이트를 방문하면 브라우저는 연결에 대한 암호화 키를 검사하고 기록에있는 루트 인증서 중 하나가 서명했는지 확인합니다. 키가 서명 된 경우 사용자는 자물쇠와 안전한 사이트에 대한 멋진 메시지를 볼 수 있습니다. 키가 서명되지 않은 경우 사용자는 엄청난 경고 메시지를 보게되며 위험을 감수해야합니다.

모질라 파일을 사용하려는 Ray Villalobos의 의도는 Mozilla의 브라우저 (현재 썬더 버드는 웹에 연결되어 플러그인과 RSS 피드를 검색하기 때문에)와 동일한 유형의 보안 검사를 PHP 코드에 통합하는 것입니다).

그러나 이러한 루트 인증서 중 하나가 서명 한 SSL 또는 TLS 키가 인증을 통해 안전하다고 보장되지 않는다는 점에 유의해야합니다. 연결의 보안은 전적으로 각 서버에서 생성 된 암호화 키에 달려 있습니다. 최종 사용자는 소프트웨어를 최신 상태로 유지하고 다른 몇 가지 사항은 유지해야합니다. 모든 인증 서명이 실제로 증명하는 것은 누군가가 인증 기관에 돈을 지불하고 양식을 작성하고 양식에 누설 된 경우 자신을 위장 할 위험이 있다는 것입니다.