问如何检查在与PHP的连接中使用了什么证书？

EN

您不能这样做: MitM攻击是基于这样一个事实:在服务器和有效客户端之间的人已经拥有所有有效证书。因此，对于您的服务器，他的行为与任何其他有效客户端一样。

假设有一个人在中间，那么“您的访问者”提供的所有信息(您可能会使用某种方式来识别他们正在使用的证书)实际上都是中间的人提供的信息。这意味着您不能信任它(这是一个很好的经验法则，即使没有MITM也是如此)。

换句话说，这是不可能的。

你可以得出这个结论的另一种方式是:如果这是可能的，那么“中间人”不会是我们今天都知道的一个术语。

正如@Jon和@zerkms已经说过的，检查服务器证书是客户端的责任。

作为服务器，您可以确保客户端正在使用已提供服务器证书的连接，方法之一是请求客户端证书身份验证。实际上，在与客户端证书握手期间，CertificateVerify TLS消息包含迄今为止已交换的所有握手消息的摘要的签名，包括服务器证书。如果TLS签名成功，则客户端将发送正确的签名，可根据其证书进行验证。

当然，从服务器的角度来看，这只有在您信任客户端证书的情况下才有效。

这不会完全解决问题，特别是因为对于客户端来说，接受使用它无法验证的服务器上的证书进行身份验证是不可取的(即使私钥不会被泄露，证书的身份也会被发送到流氓一方)。

同样，归根结底，用户仍然有责任决定它是否信任服务器的身份。