SSL 検証を使用した cURL は機能しますが、暗号化されていることを確認するにはどうすればよいでしょうか?

Question

私は、example.com と domain.com という 2 つの Web サイトを所有しています。どちらの DNS も Cloudflare でホストされています。 Cloudflareは、ダッシュボードで無料のSSL/TLS暗号化を提供します。どちらのサイトも、HTTPS の書き換えを強制する完全暗号化モードに設定されています。 example.com は WebHostingA でホストされ、domain.com は HosterB でホストされます。

domain.com を使用して example.com/test.php からコンテンツを取得したいと考えています。

コード: domain.com/get-contents.php

リーリー

コード: example.com/test.php

リーリー

example.com/test.php からコンテンツを正常に返すことができました (ボブ、私のコンテンツを取得しました!)。ただし、私が懸念しているのは、cURL コードでいかなる種類の証明書も提供する必要がないことです。 domain.com から送信されたコンテンツが暗号化されているか、example.com から受信したコンテンツが暗号化されているかを確認するにはどうすればよいですか?私の目標は、これら 2 つの Web サイト間でデータを安全に転送することです。

Answer 1

最初に https スキームを使用します。これは、curl が TLS を使用して接続することを意味します。 https://example.com/test.php と http://example.com/test.php は異なる URL です。curl 自体はスキームを変更しません。

Second - 場合によっては、サーバー側がプレーン http にリダイレクトすることがあります。リダイレクトがなく、接続が暗号化されていることを確認するには、curl_getinfo() 関数を使用して、次のように CURLINFO_EFFECTIVE_URL フィールドと CURLINFO_SSL_VERIFYRESULT フィールドを確認します。

リーリー

$r は 0、$url は https:// で始まる必要があります。

このサーバーのいずれかで tcpdump を使用してリクエストをログに記録し、ダンプで純粋なデータを確認することもできます。

リーリー

接続されているポートが表示され、キャプチャされたデータが dump.pcap ファイルに記録されます。ポートの 1 つが 443 の場合、トラフィックは TLS を使用して送信されます。また、後で Wireshark で dump.pcap ファイルを分析したり、strings コマンドを使用したりすることもできます。