Thread LWP::UserAgent SSL ausschalten
(14 answers)
Opened by bianca at 2015-11-05 08:05
Komplett ausschalten geht mit SSL_verify_mode auf 0 setzen (bzw. die Konstante SSL_VERIFY_NONE). Der bessere Weg ist natürlich die Zetifikatsverifikation nicht auszuschalten, weil ohne die Validierung kann man leicht man-in-the-middle Angriffe machen.
Besser ist es daher das Zertifikat selber als trusted zu markieren. Das kann über die Option SSL_fingerprint gemacht werden (siehe Dokumentation von IO::Socket::SSL für Details). Der andere Weg, den Du offensichtlich probiert hast, ist das Zertifikat über SSL_ca_file anzugeben. Dieses ist möglich solange * Der Hostname im Zertifikat tatsächlich dem Namen in der URL entspricht. * Und das Zertifikat korrekt selbst-signiert ist. D.h. insbesondere auch, dass das Zertifikat das CA-Flag auf true gesetzt hat, weil nur in diesem Fall darf das Zertifikat überhaupt zum signieren benutzt werden. SSL_fingerprint ist die einfachere Sache und entspricht etwa dem, wenn man im Browser eine Ausnahme hinzufügt. SSL_ca_file ist komplexer und entspricht dem, wenn man in der Zertifikatsverwaltung des Browsers ein neues Zertifikat als trusted hinzufügt. Die Bedingung, dass der Hostname passen muss, gilt in diesem Falle auch im Browsert. |