15
Tôi có một tình huống mà khách hàng gọi điện qua curl tới url https. Chứng chỉ SSL của url https được tự ký và do đó curl không thể thực hiện xác thực chứng chỉ và không thành công. curl cung cấp tùy chọn -k/- không an toàn làm vô hiệu xác thực chứng chỉ. Câu hỏi của tôi là việc sử dụng tùy chọn --insecure là việc truyền dữ liệu được thực hiện giữa máy khách và máy chủ được mã hóa (vì nó phải là url https)? Tôi hiểu rủi ro bảo mật vì xác thực chứng chỉ không được thực hiện, nhưng đối với câu hỏi này, tôi chỉ quan tâm đến việc chuyển dữ liệu có được mã hóa hay không.tùy chọn không an toàn curl
chiến lược Rất xấu; xem [Mã nguy hiểm nhất trên thế giới: xác thực chứng chỉ SSL trong phần mềm không phải trình duyệt] (http://crypto.stanford.edu/~dabo/pubs/abstracts/ssl-client-bugs.html). – jww
@ jww, không nhất thiết là xấu nếu bạn đang ở trong tình huống mà bạn không kiểm soát các chứng chỉ đang được sử dụng (tự ký trong trường hợp này), nhưng vẫn cần phải kiểm tra bằng cách sử dụng curl. Tôi đồng ý sử dụng các chứng chỉ tự ký mà không cài đặt chuỗi CA (như trong môi trường doanh nghiệp) là một ý tưởng tồi, nhưng trong tổ chức lớn, nó thường nằm ngoài tầm kiểm soát của người đang viết mã hoặc sử dụng API. – ntwrkguru