Perl LWP SSL 连接：证书验证失败

Question

我的应用程序需要 SSL 下的 LWP，但我似乎无法让它正确连接而不会收到错误。

certificate verify failed)LWP::Protocol::https::Socket: SSL connect attempt failed with unknown error error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed at C:/Perl/site/lib/LWP/Protocol/http.pm line 51.

每当我在服务器上的 FireFox 中加载网站时，我都会收到

This connection is untrusted (Technical error: sec_error_unknown_issuer)

每当我在 Chrome 中加载它时，它都验证得非常好。

我可以在我的计算机上的 FireFox 和 Chrome 中加载页面并且完全没有收到 SSL 验证错误。

我不知道我的电脑和我的服务器有什么不同；他们都使用完全相同的 FireFox 版本，所以我不确定为什么它不能在那里正确验证。

我已经尝试通过在 Perl 脚本中输入 $ENV{PERL_LWP_SSL_VERIFY_HOSTNAME} = 0 来解决问题，但它似乎仍然抛出了同样的错误。

This is the script I'm using to test HTTPS

有没有人知道任何解决方案或解决方法？

Answer 1

我已尝试通过输入 $ENV{PERL_LWP_SSL_VERIFY_HOSTNAME} = 0 来解决问题

正如选项名称所暗示的那样，它只关心禁用对证书的主机名检查。它不会禁用证书链的验证。

每当我在服务器上的 FireFox 中加载网站时，我都会收到...

由于您在使用 Firefox 和 LWP 而不是使用 Chrome 时遇到验证错误，因此 Chrome 可能有一个其他人没有的受信任的额外 CA。

从您的代码看来，您使用的是 Windows，并且据我了解，Firefox 带有自己的 CA 存储，LWP 使用 Mozilla::CA（其中包含通常随 Firefox 提供的 CA），但 Chrome 使用系统 CA 存储。因此，系统存储中可能存在 Firefox 和 LWP 不知道的 CA。

虽然可能存在一些特殊的、深奥的 CA，默认 Windows CA 存储区知道但 Firefox 不知道，但您更有可能位于某些 SSL 检查防火墙的后面，并且管理员添加了必要的代理证书到Windows CA 存储但不是 Firefox 或 LWP 的存储。我建议您检查 Chrome 浏览器中的证书链并查看顶部（内置）证书。

如果您认为 CA 受信任，您可以将其导出并导入 Firefox。您也可以通过将其保存为 PEM 格式来使 LWP 使用此 CA，然后将 PERL_LWP_SSL_CA_PATH 环境变量设置为指向保存的文件，或使用 ssl_opts 设置中的 SSL_ca_path 选项使 LWP 将此 CA 证书用于验证。

如果此解释无法提供解决方案，请提供有关您尝试访问的目标 URL 和您拥有的网络设置的更多详细信息，尤其是在存在 SSL 拦截代理或防火墙的情况下。请同时提供有关您使用的 LWP 版本的信息，因为版本 6 发生了很大变化。