一场败仗…

在PHP 5.6之前，如果不手动设置"cafile"和"CN_match"上下文选项，就无法在PHP中进行安全加密传输。不幸的是，即使您正确设置了这些值，您的传输仍然很可能失败，因为5.6之前的版本在验证主机名时没有参考对等证书中日益流行的SAN (subjectAltName)扩展。因此，通过PHP内置的流包装器进行"安全"加密在很大程度上是一种用词不当。对于旧版本的PHP，最安全的选择是curl扩展。

关于windows证书…

Windows使用自己的证书存储，并以不同于OpenSSL的格式编码其证书。相比之下，openssl应用程序使用开放的. pem格式。5.6之前版本的PHP无法以任何方式与windows证书存储连接。因此，使用内置的流包装器功能在跨操作系统中进行可靠和安全的加密是不可能的。

PHP 5.6向前迈进了一大步

• openssl。和openssl。capath php.ini指令允许您全局分配证书位置，而无需在每个流上下文中设置它们

• 所有加密流默认验证对等证书和主机名，如果没有提供"CN_match"上下文选项，则自动从URI解析主机名。

• 流加密操作现在在验证主机名时检查对等证书SAN条目

• 如果在流上下文或 PHP .ini指令中没有指定CA文件/路径，PHP会自动返回到操作系统的证书存储库(在Windows中也是如此!)

作为一个例子，在PHP-5.6中，你需要做的就是安全地连接到github.com:

<?php
$socket = stream_socket_client("tls://github.com:443");

是的。真的是这样。不用担心上下文设置和验证参数。在这方面，PHP现在的功能与浏览器类似。

关于这个主题的更多阅读

这些PHP 5.6的变化只是SSL/TLS改进的冰山一角。我们努力使5.6成为迄今为止在加密通信方面最安全的PHP版本。

如果您想了解更多关于这些新功能的信息，可以通过官方渠道获得丰富的信息

• [RFC]改进的TLS默认值
• [RFC] TLS对等验证
• 5.6新闻文件
5.6升级文件

5.4/5.5中SAN匹配的注释

我们正在努力将至少与5.4和5.5分支匹配的SAN反向移植，因为如果没有这个功能，(作为客户端)将很难以任何有意义的方式使用加密包装器。虽然这个后台移植工作在很大程度上取决于我作为志愿者的空闲时间，但为这个答案投票肯定会帮助它更快实现:)