কার্লের কী উইজেটের মতো কোনও - চেক-শংসাপত্র বিকল্প নেই?


446

আমি স্ব-স্বাক্ষরিত SSL শংসাপত্র সহ একটি ডেভ সাইট চালাচ্ছেন আমাদের স্থানীয় উন্নয়ন সার্ভারগুলির মধ্যে কার্লকে অনুরোধ করার চেষ্টা করছি। আমি কমান্ড লাইন থেকে কার্ল ব্যবহার করছি।

আমি দেখেছি কিছু ব্লগ পোস্ট যে আপনার শংসাপত্রগুলি তালিকায় যোগ করতে অথবা একটি নির্দিষ্ট (স্ব সাইন ইন) বৈধ হিসাবে সার্টিফিকেট নির্দিষ্ট করতে পারেন, কিন্তু একটি ধরা সব বলার অপেক্ষা রাখে না প্রণালী SSL Cert "যাচাই করুন না" হয় উল্লেখ - মত --no-check-certificateযে উইজেট আছে?


উত্তর:


594

হ্যাঁ. ম্যানপেজ থেকে :

-কে, --ইনসিকিউর

(টিএলএস) ডিফল্টরূপে, প্রতিটি এসএসএল সংযোগ কার্ল তৈরি করে তা সুরক্ষিত হওয়ার জন্য যাচাই করা হয়। এই বিকল্পটি কার্লকে অন্যথায় সুরক্ষিত হিসাবে বিবেচনা না করে এমনকি নিরাপদ সার্ভার সংযোগগুলির জন্যও এগিয়ে যেতে এবং পরিচালনা করতে অনুমতি দেয়।

সার্ভারের শংসাপত্রে সঠিক নাম রয়েছে কিনা তা নিশ্চিত করে সার্ভার সংযোগটি যাচাই করা হয় এবং শংসাপত্রের স্টোরটি ব্যবহার করে সফলভাবে যাচাই করে।

আরও তথ্যের জন্য এই অনলাইন সংস্থানটি দেখুন: https://curl.haxx.se/docs/sslcerts.html

- প্রক্সি-অনিরাপদ এবং - কেসার্টও দেখুন।

এই ম্যানপেজ এন্ট্রিটিতে উল্লিখিত রেফারেন্সের কয়েকটি নির্দিষ্ট আচরণের বর্ণনা দেয় -k

এই আচরণগুলি BadSSL.comcurl থেকে পৃষ্ঠাগুলি পরীক্ষা করার অনুরোধের সাথে পর্যবেক্ষণ করা যেতে পারে

curl -X GET https://wrong.host.badssl.com/
curl: (51) SSL: no alternative certificate subject name matches target host name 'wrong.host.badssl.com'

curl -k -X GET https://wrong.host.badssl.com/
..returns HTML content...

11
সত্য যে এটি একটি অক্ষর সংক্ষিপ্ত বিকল্প আছে পছন্দ করুন
kizzx2

এই বিকল্পটি ডিফল্ট করার জন্য কার্ল কনফিগারেশনের কোনও উপায় আছে কি?
জিতেছে

4
@ উইনস, এটি একটি ভয়াবহ ধারণা হবে। আপনার যদি এটির বারবার ব্যবহারের প্রয়োজন হয় তবে ডান একটি উপাধি করুন, যাতে আপনি এটি জানেন কি না এবং ঘটনাক্রমে আপনার পাসওয়ার্ডগুলি এনক্রিপ্ট না করে প্রেরণ করবেন না। alias insecure-curl="curl -k"
আলেকজান্ডার হুসাগাহ

2
@ আলেকজান্ডার হুজ্জাঘ কাজের সময়ে, আমি কেবল স্ব-স্বাক্ষরিত শংসাপত্রের সাথে একটি একক সার্ভার থেকে কার্ল ব্যবহার করি; আমি পুরো শংসাপত্রের চেকিং করতে চাই এমন কোনও সময় নেই। বেশিরভাগ ক্ষেত্রে কোনও কিছুর ভয়ঙ্কর ধারণা বলে মনে হয় কেবল তাই নয় যে এটি সর্বদা হয়।
ড্যানিয়েল এইচ

4
@ ড্যানিয়েলএহেতু আমি একটি উপনামের পরামর্শ দিয়েছি: সুতরাং আপনি এটি অনিরাপদ যে স্পষ্ট জ্ঞানের সাথে অতিরিক্ত সুবিধা পাবেন। কর্মপ্রবাহের পরিবর্তন: আপনি যখন সুবিধার জন্য সুরক্ষা বাণিজ্য করছেন তখন আপনার কিছু সীমিত ফ্যাশনে জেনে রাখা উচিত।
আলেকজান্ডার হুজ্জাহ

36

সমস্ত সংযোগের জন্য পরিবর্তনগুলি প্রয়োগ করতে আপনি নিম্নলিখিত কমান্ডটি ব্যবহার করতে পারেন:

$ echo insecure >> ~/.curlrc

Windows এ শুধু তৈরি _curlrc'অনিরাপদ' আপনার এটা টেক্সট পাঠ্য ফাইল %HOME%, %CURL_HOME%, %APPDATA%, %USERPROFILE%বা %USERPROFILE%\Application Dataডিরেক্টরি।

উপরের সমাধানটি ব্যবহারের সুবিধা হ'ল এটি সমস্ত curlকমান্ডের জন্য কাজ করে তবে এটি সুপারিশ করা হয় না কারণ এটি এমআইটিএম আক্রমণগুলি অনিরাপদ এবং অবিশ্বস্ত হোস্টের সাথে সংযুক্ত করে পরিচয় করিয়ে দিতে পারে ।


72
এটি খারাপ পরামর্শের মতো বলে মনে হচ্ছে: প্রতিটি সংযোগের জন্য এই চেকগুলি অক্ষম করা ডিফল্ট হওয়া উচিত নয়, এমনকি যদি আপনি প্রতি ব্যবহারকারীর কনফিগারেশনের মাধ্যমে নিজের সাথে এটি করেন। আপনার যদি সুরক্ষা চেকগুলি দমন করতে হয় তবে কমপক্ষে এটি টুকরো টুকরো করুন।
ক্রিস্টোফার শুল্টজ

4
যে কোনও সময় আমি কার্ল ব্যবহার করছি, আমি অন্য প্রান্তে মেশিনটিকে নিয়ন্ত্রণ বা বিশ্বাস করি।
এরিক হার্টফোর্ড

11
@ এরিক হার্টফোর্ড: ঠিক আছে, আপনার পক্ষে ভাল তবে এটি এখনও সাধারণ পরামর্শ হিসাবে তৈরি করতে পারে না ইমো। উদাহরণস্বরূপ, ওক্সে হোমব্রিউ ডাউনলোড করার সময় কেউ কার্ল ব্যবহার করতে পারে এবং সরঞ্জামগুলির পরিবর্তিত সংস্করণটি শেষ করতে পারে কারণ তিনি এটিকে অন্ধভাবে ডিফল্ট হিসাবে সক্ষম করেছেন।
ereOn

10
এছাড়াও @ এরিক হার্টফোর্ড আপনি কি সর্বদা বিশ্বাসযোগ্য কার্ল স্টাফগুলি করেন? আপনি কি কখনও ইন্টারনেট বন্ধ হয়ে যায় এমন কোনও বাশ ইনস্টল স্ক্রিপ্ট চালিয়েছেন? মঞ্জুর, আপনি যে কোনও উপায়ে সেখানে কালো হতে পারেন, তবে এটি সম্ভাবনা বাড়িয়ে তোলে।
জ্লাত্তো

এটিই আসল @ এরিক হার্টফোর্ড। পূর্ববর্তী বার্তাটি অন্য কেউ আমার ছদ্মবেশে পোস্ট করেছিলেন। কারণ আমি সমস্ত মেশিনকে বিশ্বাস করেছি ;-)
আনন্দ রক্জ

5

আপনি স্ব-স্বাক্ষরিত শংসাপত্রটি ব্যবহার করছেন। আপনি কেন আপনার বিশ্বস্ত সিএ বান্ডেল (লিনাক্স) এ সিএ যুক্ত করলেন না বা বিশ্বস্ত শংসাপত্রের স্টোর (উইন্ডোজ) এ যুক্ত করবেন না? অথবা --cacert /Path/to/fileআপনার বিশ্বস্ত স্ব-স্বাক্ষরিত শংসাপত্র ফাইলের সামগ্রীগুলি সহ কেবল ব্যবহার করুন।

অন্যান্য উত্তরগুলি wgetতুলনার ভিত্তিতে প্রশ্নের উত্তর দিচ্ছে । তবে সত্য জিজ্ঞাসা হ'ল আমি কীভাবে স্ব-স্বাক্ষরিত সার্ট ব্যবহার করে একটি বিশ্বস্ত সংযোগ বজায় রাখতে পারি curl। অনেক মন্তব্যের ভিত্তিতে সুরক্ষা হ'ল এই উত্তরগুলির যে কোনও একটিতে শীর্ষস্থানীয় উদ্বেগ, এবং সর্বোত্তম উত্তরটি হ'ল স্ব-স্বাক্ষরিত শংসাপত্রের উপর বিশ্বাস রাখা এবং curlসুরক্ষা চেক অক্ষত রাখা।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.