【PHP8.x】CURLOPT_SSL_VERIFYHOST定数の使い方

Copy
1<?php
2
3/**
4 * 指定されたURLに対して安全なHTTPSリクエストを実行します。
5 *
6 * この関数は、CURLOPT_SSL_VERIFYHOST オプションを使用して、
7 * サーバー証明書のホスト名検証を行う方法を示します。
8 *
9 * @param string $url リクエストを送信するターゲットURL。
10 * @return string|false リクエストが成功した場合はレスポンスの本文、失敗した場合は false。
11 */
12function makeSecureHttpsRequest(string $url)
13{
14    // cURLセッションを初期化します。
15    $ch = curl_init();
16
17    // リクエストのURLを設定します。
18    curl_setopt($ch, CURLOPT_URL, $url);
19
20    // リクエストの結果を文字列として取得するように設定します。
21    // これを設定しない場合、curl_exec() は直接出力します。
22    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
23
24    // SSLピアの検証を有効にします (推奨)。
25    // これにより、接続先のサーバーが提示する証明書が信頼できる認証局によって署名されているかを確認します。
26    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true);
27
28    // SSLホスト名の検証を有効にします (推奨)。
29    // これにより、証明書に記載されているホスト名が、実際に接続しようとしているホスト名と一致するかを確認します。
30    //
31    // - 2: ホスト名の検証を行います。証明書のCommon Name (CN) および Subject Alternative Names (SANs) を検証します。
32    //      これが最も安全な推奨設定です。
33    // - 1: PHP 5.4.0 以降では、CURLOPT_SSL_VERIFYPEER が true の場合、値 2 と同じ動作になります。
34    // - 0: ホスト名の検証を行いません。セキュリティ上のリスク（中間者攻撃など）があるため、本番環境では絶対に避けるべきです。
35    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);
36
37    // cURLリクエストを実行し、レスポンスを取得します。
38    $response = curl_exec($ch);
39
40    // cURLリクエスト中にエラーが発生したかを確認します。
41    if (curl_errno($ch)) {
42        // エラーメッセージを取得し、エラー処理を行います。
43        error_log("cURL Error: " . curl_error($ch));
44        $response = false;
45    }
46
47    // cURLセッションを閉じ、リソースを解放します。
48    curl_close($ch);
49
50    return $response;
51}
52
53// 例として、外部のHTTPSエンドポイントにリクエストを送信します。
54// 実際の使用時には、アクセスしたい有効なHTTPS URLに置き換えてください。
55$targetUrl = "https://www.google.com/";
56
57echo "--- HTTPS リクエスト開始 ---" . PHP_EOL;
58
59$result = makeSecureHttpsRequest($targetUrl);
60
61if ($result !== false) {
62    echo "リクエスト成功！ レスポンスの冒頭部分：" . PHP_EOL;
63    // 初心者にも分かりやすいように、レスポンスの最初の一部のみを表示します。
64    echo substr($result, 0, 200) . "..." . PHP_EOL;
65} else {
66    echo "リクエスト失敗。詳細についてはエラーログを確認してください。" . PHP_EOL;
67}
68
69echo "--- HTTPS リクエスト終了 ---" . PHP_EOL;
70
71?>

CURLOPT_SSL_VERIFYHOSTは、PHPのcURL拡張機能で使用される定数で、HTTPS通信を行う際に、接続先のサーバーが提示するSSL証明書に記載されているホスト名が、実際に接続しようとしているURLのホスト名と一致するかどうかを検証するために設定します。これにより、通信相手が本物であることを確認し、中間者攻撃などのセキュリティリスクから保護します。この定数は引数を取らず、curl_setopt関数に渡す設定値として整数型（int）を使用します。

設定値にはいくつかの選択肢があります。最も安全で推奨されるのは「2」です。この値に設定すると、証明書のコモンネーム（CN）やサブジェクト代替名（SANs）と、接続先のホスト名が厳密に一致するかを検証します。「0」に設定するとホスト名の検証を一切行いませんが、これはセキュリティ上の重大な脆弱性となるため、本番環境での使用は絶対に避けるべきです。以前は「1」という設定も存在しましたが、PHP 5.4.0以降では「2」と同じ挙動をします。

サンプルコードでは、makeSecureHttpsRequest関数内でcurl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);として、最も安全なホスト名検証を有効にしています。これは、サーバー証明書自体の信頼性を検証するCURLOPT_SSL_VERIFYPEERと組み合わせて使用することで、より堅牢なHTTPS通信を実現するために不可欠な設定です。これらの設定により、指定されたURLへの安全なリクエストが可能となり、不正なサーバーへの接続を防ぐことができます。