该错误源于Composer无法验证HTTPS SSL证书,主因是系统CA证书过旧、代理拦截或网络设备干扰;应优先更新CA证书并显式配置cafile路径,而非禁用SSL验证。
这个错误通常是因为 Composer 无法验证 HTTPS 连接的 SSL 证书,常见于系统 CA 证书过旧、代理拦截、或本地网络环境(如企业防火墙、某些杀毒软件)干扰所致。核心思路是让 Composer 能正确验证或安全绕过验证,而非简单关闭全部 SSL 检查。
检查并更新系统的 CA 证书包
Composer 依赖系统级的 CA 证书来验证 HTTPS 站点(如 packagist.org)。Linux/macOS 上证书常由 ca-certificates 包管理;Windows 上则可能依赖 PHP 自带的证书或系统证书库。
- Ubuntu/Debian:运行
sudo apt update && sudo apt install --reinstall ca-certificates - CentOS/RHEL:运行
sudo yum reinstall ca-certificates或sudo dnf reinstall ca-certificates - macOS(Homebrew):运行
brew reinstall ca-certificates,然后确保 PHP 使用它(可通过php -r "print_r(openssl_get_cert_locations());"查看cert_file路径) - Windows:下载最新 cacert.pem,在
php.ini中设置openssl.cafile="C:/path/to/cacert.pem",然后重启 Web 服务或 CLI 环境
配置 Composer 使用正确的证书路径
即使系统证书已更新,Composer 也可能没读到。可显式指定证书位置:
- 查看当前配置:
composer config -g cafile - 设为系统默认路径(Linux/macOS 常见):
composer config -g cafile /etc/ssl/certs/ca-certificates.crt - 设为自定义 PEM 文件(如 Windows):
composer config -g cafile "C:\\php\\extras\\ssl\\cacert.pem" - 设为空值(不推荐)以回退到 PHP 默认行为:
composer config -g cafile ""
临时禁用 SSL 验证(仅限调试或可信内网)
不建议长期使用,但可用于快速确认是否为证书问题本身:
- 全局禁用(高风险):
composer config -g secure-http false - 单次命令跳过验证:
composer install --no-secure-http(需 Composer 2.5+) - ⚠️ 注意:禁用后所有包下载走 HTTP 或跳过证书校验,存在中间人攻击风险,切勿用于生产环境或公共网络
排查代理与中间设备干扰
公司网络、校园网或某些安全软件会注入自签名证书进行流量检测,导致 Composer 校验失败:
- 运行
curl -v https://packagist.org/packages.json,观察 TLS 握手阶段是否报错或显示非标准证书颁发者 - 若使用代理,确保
HTTP_PROXY/HTTPS_PROXY环境变量设置正确,并且代理支持 CONNECT 隧道和 SNI - 临时关闭杀毒软件(如 Kaspersky、McAfee)、防火墙或上网行为管理设备再试
- 如确认是中间证书问题,可将该设备的根证书导出为 PEM,追加到你的
cacert.pem文件末尾,再让 Composer 使用它
基本上就这些。多数情况下更新 CA 证书 + 显式配置 cafile 就能解决,无需妥协安全性。SSL 报错本质是信任链断裂,修复它比绕过它更可靠。
