SMTP SECURE Problem ab PHP 5.6 mit ungültigen Zertifikaten

[rafaelo]

Hallo,

ich habe gerde einen Shop auf Modified 2.0 aktualisiert und will ihn unter PHP 7.0 statt 5.4 laufen lassen. Der Mailversand über SMTP wollte nicht mehr. Nach etwas Debuggen mußte ich lesen, dass PHP ab Version 5.6 die Zertifikate des SMTP-Servers prüft. Bei wem das Zertifikat aus unterschiedlichen Gründen abgelehnt wird, schaut in die Röhre und wird seine Mails nicht los.

Aus Bequemlichkeitsgründen würde ich einfach die Zertifikatsüberprüfung ausschalten wollen. Das geht leider nur durch eine Codeänderung, nicht durch Einstellungen in php.ini usw. Siehe https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting#php-56-certificate-verification-failure Eingebaut in die xtc_php_mail.inc.php Zeile 205. Ich denke mal, das Problem wird größer werden, je mehr Leute neuere PHP-Versionen verwenden.

Code: PHP  [Auswählen]

$mail->SMTPOptions = array(
    'ssl' => array(
        'verify_peer' => false,
        'verify_peer_name' => false,
        'allow_self_signed' => true
    )
);

Bequemlichkeit: Es ist aufwändig, das Zertifikat des SMTP-Servers für PHP nutzbar zu hinterlegen. Außerdem muß man ständig überwachen, ob es gültig, weder abgelaufen noch zurückgezogen usw. ist oder ausgetauscht wurde. Und man bekommt Probleme nicht mit. Eine Quelle ständiger Ärgernisse.

Weitere Quellen:
http://php.net/manual/en/openssl.configuration.php
http://php.net/manual/en/context.ssl.php
http://stackoverflow.com/questions/26810218/how-to-set-verify-peer-name-false-ssl-context-option-via-php-ini-in-php-5-6

Viele Grüße
Ralf

Linkback: https://www.modified-shop.org/forum/index.php?topic=36924.0

[Tomcraft]

Siehe dazu auch: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)

Grüße

Torsten

[rafaelo]

Hallo Torsten, danke für den Hinweis. Das dort beschriebene Vorgehen "Servername im Zertifikat"="korrekte Angabe des SMTP-Servers in der Konfiguration" setzt weiterhin voraus, dass die signierende CA korrekt in der OpenSSL-Zertifikatsliste hinterlegt ist. Das funktioniert weder mit selbstsignierten Zertifikaten noch mit Zertifikaten von CAs, die nicht über openssl.cafile/openssl.capath erreichbar sind.

Ich habe einen eigenen SMTP-Server und wollte dem nicht noch ein eigenes Zertifikat einer der namhaften CAs spendieren noch dauernd drauf aufpassen, ob es mal wieder abgelaufen ist. Oder ob neuere CA-Zertifikate durch OS-Updates installiert werden. Wie so immer: Dinge, die reibungslos laufen, verdrängt man gerne. Oder die Alternative: eigene CA mit OpenSSL aufmachen, Root-Zertifikat in openssl.cafile hinterlegen und dann ein Zertifikat für den SMTP-Server ausstellen.

Grundsätzlich war es ein Hinweis, wie man mit dem Thema umgehen könnte. Oder habe ich noch etwas überlesen? Ansonsten ist mir soweit geholfen.

Viele Grüße
Ralf