大家好，我是专注网络安全的程序员老张。今天咱们聊一个很多C语言开发者踩过的坑——用C代码发起HTTPS请求时，证书验证的那些“暗礁”。别看HTTPS带个“S”就以为绝对安全，如果证书处理不当，分分钟变“裸奔”！下面我用最直白的例子带你看透本质。

一、HTTPS请求为啥要验证证书？

想象你去银行办业务，柜员说：“我是工作人员”，你咋确认？看工牌（证书）对不对？HTTPS也一样：客户端（你的C程序）收到服务器发来的证书后，必须验证它是不是“真工牌”，否则可能连到钓鱼网站！

真实案例：2025年某金融APP被曝中间人攻击漏洞，就是因为客户端没校验服务器证书，黑客轻松窃取用户密码。

二、C语言中常见的证书坑

坑1：完全跳过验证（作大死！）

```c

// libcurl示例：危险操作！

curl_easy_setopt(curl, CURLOPT_SSL_VERIFYPEER, 0L); // 关闭peer验证

curl_easy_setopt(curl, CURLOPT_SSL_VERIFYHOST, 0L); // 关闭host验证

```

这就好比：“不管谁来都说自己是银行，我都信！” 千万别在生产环境用！

坑2：只验证域名不验CA

// 半吊子方案

curl_easy_setopt(curl, CURLOPT_SSL_VERIFYPEER, 1L);

curl_easy_setopt(curl, CURLOPT_SSL_VERIFYHOST, 0L); // ←问题在这！

这相当于：“工牌我懒得看，你说你是XX银行的人我就信。” MITM攻击依然可能！

三、正确姿势（附代码）

方案1：使用系统默认CA库（推荐新手）

CURL *curl = curl_easy_init();

if(curl) {

curl_easy_setopt(curl, CURLOPT_URL, "https://example.com");

curl_easy_setopt(curl, CURLOPT_SSL_VERIFYPEER, 1L); // ←关键！

curl_easy_setopt(curl, CURLOPT_SSL_VERIFYHOST, 2L); // ←关键！

CURLcode res = curl_easy_perform(curl);

if(res != CURLE_OK) {

fprintf(stderr, "证书验证失败: %s\n", curl_easy_strerror(res));

}

}

这就好比：“我只认公安局备案过的正规工牌（CA签发），且照片要对得上人（域名匹配）。”

方案2：自定义CA证书路径（企业常用）

curl_easy_setopt(curl, CURLOPT_CAINFO, "/path/to/your/cacert.pem");

适合内部系统或指定信任特定CA的情况。比如公司自建PKI体系时。

四、进阶防护技巧

1. 证书钉扎（Certificate Pinning）

提前存储服务器证书指纹，对比是否一致：

```c

// OpenSSL示例（简化版）

const char *true_fingerprint = "A1:B2:C3...";

X509 *cert = SSL_get_peer_certificate(ssl);

char *current_fp = X509_digest(cert, EVP_sha256());

if(strcmp(true_fingerprint, current_fp) != 0) {

abort(); //立即终止连接！

}

```

就像银行说：“我们的工作人员指纹必须是A1B2C3...否则是冒牌的！”

2. OCSP装订检查

实时查询证书吊销状态，防止用已过期的“作废工牌”。

五、测试工具推荐

- openssl s_client：手动测试证书链

```bash

openssl s_client -connect example.com:443 -showcerts

- Wireshark：抓包看TLS握手过程

六、 checklist

? 必须做

- VERIFYPEER和VERIFYHOST双开

- CA证书及时更新

?? 禁止做

- DEBUG阶段后仍跳过验证

- Hardcode自签名证书到客户端

记住：HTTPS的安全感来自于严格的证书校验。下次写C网络代码时，别忘了给你的请求加上“火眼金睛”！

TAG:c https请求 证书,https的请求,证书请求文件,https证书存在错误怎么解决,申请https证书