Как получить доступ из php curl к эндпоинту с устаревшим SSL?
Здравствуйте, друзья!
Есть проблема: нужно обращаться из php через curl к api одной компании. На их сервере поддерживается только SSLv2, SSLv3 и TLSv1 с шифрами, уже убранными из openSSL. Уговорить их проапгрейдить сервак вряд ли получится, так как основные клиенты, насколько я понимаю, получают данные через виндовые SSL-бекенды, которые сохраняют совместимость со старыми версиями.
Даунгрейдить openSSL на нашем продакшене - само собой не вариант.
Соответственно вопрос: есть ли какая-то возможность красиво решить эту проблему? Мне пока только на ум приходит докер с пересобранным openSSL. Может я что-то упускаю?
С нашей стороны:
Ubuntu 18.04.2 LTS
PHP 7.2
curl 7.58.0
OpenSSL 1.1.1
Спасибо!
-----
Вопрос решился малой кровью: поговорили с разрабами на той стороне, они сказали, что знают о проблеме, но апдейт системы не раньше чем через пол-года.
Итог: устанавливаем VPN к ним и идем по http
Spartak (Web-StyleStudio), там требуется зашифрованное соединение, без него никак. У меня даже лиса ругается на этот эндпоинт, что, мол, устаревшие протоколы. Но через исключение пускает по TLSv1 c шифром TLS_RSA_WITH_3DES_EDE_CBC_SHA. Но в openSSL этот шифр уже выпилили.
Spartak (Web-StyleStudio), чтобы дойти до проверки сертификата, нужно установить соединение, а у меня именно с этим проблема, так как протокол SSLv3 у меня не поддерживается, а в TLSv1 нет нужных шифров =(
Johnny Lowhunter, ага, пробовал поначалу. Потом напрямую из командной строки curl мучал с этими опциями, потом openssl s_client -connect...
Ну а потом testssl,sh и openssl ciphers расставили все по своим местам =)
Masurao, я бы сделал доп сервер тип (не важен), чем подвергать опасности все данные на проде.
Очевидно, что строгие меры безопасности прода сделаны "не просто так".
