Проблемы с PayPal cURL (CURLOPT_SSL_VERIFYPEER и CURLOPT_SSL_VERIFYHOST)

Question

У меня есть фрагмент кода с сайта PayPal:

// turning off the server and peer verification(TrustManager Concept).
// really paypal??? why not just include a recent cert???
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);

Как вы можете видеть в моем комментарии, мне интересно, почему на земле PayPal отключил бы эти опции.

Я знаю (от предыдущих головных болей :)), что в Windows cURL использует устаревший файл сертификатов.

Но у меня на сервере есть более новый файл сертификатов, который я мог бы просто использовать:

curl_setopt($ch, CURLOPT_CAINFO, 'E:\path\to\curl-ca-bundle.crt');

Так почему бы PayPal «рекомендовать» отключить его, если все, что требуется, - это использовать другой (более новый) файл сертификатов.

Разве это не было бы безопаснее?

Или я что-то упустил (я)я уверен, что у PayPal достаточно денег для действующего сертификата: p)?

Answer 1

Да, было бы гораздо безопаснее убедиться, что клиенты используют обновленный комплект сертификатов CA.(О чем этот вопрос, у них уже есть сертификат.)

Answer 2

Одной из причин может быть то, что это предотвращает проблемы с поддержкой, когда люди запускают скрипт на своих общих хостингах по $ 1 / год, сталкиваются с проблемами и т. Д.
Рекомендации?Нет. Но кто-то, имеющий немного больше знаний, кроме ctrl + c ctrl + v, сможет правильно его настроить.

edit: наш текущий пример кода вызывает VERIFYPEER и VERIFYHOST.Помните об этом, если вы столкнетесь с ошибками рукопожатия SSL, так как вам может потребоваться указать копию корневого файла сертификата.