Options de contexte SSL
Options de contexte SSL — Liste des options de contexte SSL
Description
Options de contexte pour les protocoles ssl://
et tls://.
Options
-
peer_name
string
-
Nom de paires à utiliser. Si cette valeur n'est pas définie, alors le
nom sera deviné en se basant sur le nom d'hôte utilisé lors de
l'ouverture du flux.
-
verify_peer
booléen
-
Nécessite une vérification du certificat SSL utilisé.
Par défaut, vaut TRUE
.
-
verify_peer_name
boolean
-
Nécessite la vérification du nom de paires.
Par défaut, vaut TRUE
.
-
allow_self_signed
booléen
-
Permet les certificats autosignés. Requière le
paramètre verify_peer
.
Par défaut, vaut FALSE
-
cafile
string
-
Endroit où se trouve le fichier de l'autorité du certificat
sur le système de fichiers local et qui devra être utilisé
avec l'option de contexte verify_peer
pour identifier le pair distant.
-
capath
string
-
Si cafile n'est pas spécifié ou si le certificat
n'a pas été trouvé, une recherche dans le dossier pointé par
capath sera effectuée afin d'y trouver un certificat
valide. capath doit être un dossier de certificat valide.
-
local_cert
string
-
Chemin vers le certificat local, sur le système de fichiers.
Ce doit être un fichier encodé PEM qui contient votre certificat
et votre clé privée. Il peut, optionnellement, contenir la
chaîne de certification de l'émetteur.
-
passphrase
string
-
La phrase passe avec laquelle votre fichier
local_cert a été encodé.
-
CN_match
string
-
Nom commun attendu. PHP effectuera un nombre limité de recherches
sur les jokers. Si le nom commun ne correspond pas à celui-là,
la connexion échouera.
Note:
Cette option est obsolète en faveur de peer_name
,
depuis PHP 5.6.0.
-
verify_depth
integer
-
Échoue si la chaîne de certification est trop profonde.
Par défaut, aucune vérification.
-
ciphers
string
-
Définit la liste des chiffrements. Le format de la chaîne est décrite
sur la page » ciphers(1).
Par défaut, vaut DEFAULT.
-
capture_peer_cert
boolean
-
Si définit à TRUE
, un option de contexte peer_certificate
sera créée, contenant le certificat de l'émetteur.
-
capture_peer_cert_chain
boolean
-
Si définit à TRUE
, une option de contexte peer_certificate_chain
sera créée, contenant la chaîne de certification.
-
SNI_enabled
boolean
-
Si vaut TRUE
, l'indication sur le nom du serveur sera activée.
Le fait d'activer SNI permet d'utiliser plusieurs certificats
sur la même adresse IP.
-
SNI_server_name
string
-
Si définie, alors cette valeur sera utilisée comme nom
dans l'indication sur le nom du serveur. Si cette valeur
n'est pas définie, alors le nom du serveur sera déduit
par rapport au nom de l'hôte utilisé lors de l'ouverture
du flux.
Note:
Cette option est obsolète en faveur de peer_name
,
depuis PHP 5.6.0.
-
disable_compression
boolean
-
Si défini, la compression TLS sera désactivée.
Cela peut aider à mitiger le vecteur d'attaque CRIME.
-
peer_fingerprint
string | array
-
Stop lorsque le certificat digest distant ne correspond pas au hash spécifié.
Lorsqu'une chaîne de caractères est utilisée, la longueur va déterminer l'algorithme
de hashage utilisé, soit "md5" (32), soit "sha1" (40).
Lorsqu'un tableau est utilisé, la clé indique le nom de l'algorithme de
hashage, et chaque valeur correspondante représente le digest attendu.
Notes
Note:
Vu que ssl:// est un protocole sous-jacent pour
les gestionnaires https:// et
ftps://,
toutes les options de contexte appliquées à ssl://
seront également appliquées à https:// et ftps://.
Note:
Afin que SNI (Server Name Indication) soit disponible, PHP doit
être compilé avec OpenSSL 0.9.8j ou supérieur. Utilisez la
constante OPENSSL_TLSEXT_SERVER_NAME
pour
déterminer si SNI est supporté ou non.