Domingo, 04 Diciembre 2016 12:06

PHP 5.6 y las conexiones seguras SSL / TLS

Valora este artículo
(0 votos)

A partir de la versión de PHP 5.6 se activa por defecto en todas las conexiones seguras SSL / TLS la verificación del nombre del host que coincida con el certificado y que este no sea autofirmado. Esto trae una mayor seguridad para las transacciones bancarias, información sensible, correos electrónicos, venta online, etc... ya que se comprueba que realmente la conexión segura sera realmente quien dice ser y no se pueda alterar por medio de un ataque “man in the middle”, capturar el trafico y asegurar que realmente donde estemos conectados sea quien dice ser.

Pero dicho esto existe algunos problemas por mala programación o por desconocimiento que puede provocar que algunas web dejen de forma correcta, como por ejemplo el envió de correo electrónico SMTPS, ya que al comprobar el nombre de certificado que este sea idéntico ya no se puede usar conexión LOCALHOST al servidor SMTP y se tiene que sustituir por el nombre del servidor, ejemplo: kvm9.srvdr.com

Este cambio también afecta a conexiones STARTTLS , FTPS, HTTPS y MYSQLS con lo cual es bueno revisarlo todo y tener unos certificados de seguridad validos.

Como parche temporal mientras se tramitan los nuevos certificados se pueden desactivar la comprobación usando: verfiy_peer a false y allow_self_signed a true, con riesgo de perdida de seguridad en las comunicaciones o añadir los nuevos CA en caso de no poder adquirir certificados validos en la configuración global de PHP en openssl.cafile

Más información en:

http://php.net/manual/en/context.ssl.php

Roadmap de PHP:

http://www.php.net/supported-versions.php

 

Leer 5433 veces Modificado por última vez en Domingo, 04 Diciembre 2016 12:33

Escribir un comentario


Código de seguridad
Refescar