本质是PHP cURL在TLS握手或数据读取阶段失败,需检查OpenSSL版本是否支持TLS 1.2+、CA证书是否有效、代理或中间设备是否干扰,禁用SSL验证仅限调试,根本解法是修复底层TLS配置。
Composer 提示 SSL read: error 本质是 PHP cURL 在 TLS 握手或数据读取阶段失败,不是 Composer 自身问题,而是底层网络、证书、OpenSSL 或代理配置异常。直接换源或关 SSL 多半治标不治本,且可能引入安全风险。
检查 OpenSSL 和 PHP cURL 是否支持 TLS 1.2+
旧版 OpenSSL(如 1.0.1f 及更早)默认不启用 TLS 1.2,而 Packagist 等现代仓库已强制要求 TLS 1.2+。运行以下命令验证:
php -r "print_r(openssl_get_cipher_methods());" php -r "print_r(curl_version());"
重点关注输出中是否含 TLSv1.2 或 TLSv1.3;若 curl_version()['features'] 中不含 CURL_VERSION_SSL,说明 PHP 编译时未链接 OpenSSL。
- Ubuntu/Debian:重装
php-curl+libssl-dev后重新编译 PHP - macOS(Homebrew):确保用
brew install openssl并在编译 PHP 时指定--with-openssl=/opt/homebrew/opt/openssl - Windows:替换 PHP 自带的
libeay32.dll和ssleay32.dll为新版 OpenSSL 二进制(需严格匹配架构和 VC 版本)
确认系统根证书是否过期或缺失
PHP 的 cURL 默认使用系统 CA 包(如 Linux 的 /etc/ssl/certs/ca-certificates.crt),但某些 Docker 镜像、精简系统或企业内网环境会缺失或陈旧。
- 运行
php -r "var_dump(openssl_get_cert_locations());"查看 PHP 实际加载的cafile - 手动下载最新 Mozilla CA 包:
curl -o /tmp/cacert.pem https://curl.se/ca/cacert.pem - 在
php.ini中设置:openssl.cafile=/tmp/cacert.pem,并重启 PHP 进程(CLI 下需重新加载) - 或临时指定:
COMPOSER_CAFILE=/tmp/cacert.pem composer install
排查代理、防火墙与中间设备干扰
企业网络常见问题:透明代理、SSL 拦截设备(如 Zscaler、Blue Coat)、本地代理工具(Clash、Surge)会重签证书,导致 PHP cURL 校验失败。
- 临时关闭所有代理:
unset HTTP_PROXY HTTPS_PROXY http_proxy https_proxy - 用
curl -v https://packagist.org/packages.json复现错误,观察* Server certificate verification failed类提示位置 - 若公司强制 SSL 解密,需将设备根证书导出为 PEM,再通过
openssl.cafile加入信任链 - Docker 容器内执行时,确认是否挂载了宿主机的证书路径(如
-v /etc/ssl/certs:/etc/ssl/certs:ro)
绕过校验仅用于调试,切勿长期使用
禁用 SSL 验证(composer config -g secure-http false 或 export COMPOSER_DISABLE_TLS=1)能跳过报错,但会暴露凭证与包完整性风险——Packagist 的 JSON API 和 ZIP 下载均走 HTTPS,关闭后无法验证响应来源真实性。
- 仅限离线调试或可信局域网测试环境
- 绝不可用于 CI/CD 流水线、生产部署或共享开发机
- 若必须临时跳过,优先用
composer config -g github-protocols https而非全局关 TLS
真正稳定的解法永远是让 TLS 握手成功:更新 OpenSSL、补全 CA、清理中间设备干扰。一旦某个环节被绕过,后续可能出现更隐蔽的 Connection refused、503 Service Unavailable 或包哈希校验失败。
