curlを使用する場合、セキュリティ上の理由からcacert.pemを最新の状態に保つにはどうすればよいですか？

CURLとPHPの内部curlコマンドで使用するためにルート証明書を最新の状態に保ちたいのですが、適切な安全な接続に必要な現在のファイルをダウンロードして最新の状態に保つためのパラメーターは現在ありません。

また、cacert.pem（リモート接続を検証するためのPEMエンコード証明書チェーン）という名前のファイルを必要とする安全な接続のためにPHPでcurlを使用する例は次のとおりです。

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "https://www.google.com");
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 15);
curl_setopt($ch, CURLOPT_TIMEOUT, 15);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 1);
curl_setopt($ch, CURLOPT_CAINFO, "pathto/cacert.pem");
curl_setopt($ch, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_2);
if (!($data = curl_exec($ch))) {
    echo "No data received";
} else {
    echo strlen($data) + " total byte(s)";
}
curl_close($ch);

ほとんどの人は単にCURLOPT_SSL_VERIFYPEERをfalseに設定しているので、問題を無視しますが、 これは悪いです 。次のことができます 認証局が、このファイルが最新でない場合、安全なサーバーに接続する唯一の方法は、証明書のチェックを無効にし、ピア検証を無効にすることの背後にある影響についてさらに警告することを示しています 。

私が要求しているのは、cacert.pemのローカルコピーを維持するための合法的な方法であり、PHPでcurlを使用して他のサーバーと通信するときに、引き続き安全に。

これは外部リソースやオフサイトリンクなどの要求ではありませんが、問題の性質上、証明書チェーンが取り消されるため継続的に更新する必要があるため、これを解決する唯一の方法である可能性があります。現在まで、curl自体、php、またはphpのcurlライブラリの配布の一部としてこのファイルを取得し、それを維持し続ける方法はありません。これがcurl --update-root-caのような単純な更新コマンドが良いものではないことは落胆しますが、どのような形でも存在しません。