cURL ile SSL Sertifika Hataları Nasıl Yok Sayılır? Adım Adım Kılavuz

cURL kullanarak HTTP istekleri gerçekleştirirken, bazen SSL sertifikalarını doğrulama ile ilgili bir sorun yaşanabilir. Bu, kendinden imzalı bir sunucu sertifikası kullanıldığında veya süresi dolduğunda meydana gelebilir. Bu gibi durumlarda, cURL varsayılan olarak kullanıcıyı olası risklerden korumak için bağlantıyı reddeder. Ancak bu durum API testi, kapalı ağlarda çalışma ya da yerel hizmetlerin kullanımı sırasında süreci engelleyebilir. Bu yüzden cURL'ün SSL'i hangi durumlarda yok saydığını ve bunu nasıl uygulayacağımızı öğrenmemiz gerekiyor.

Bu makalede, cURL'de SSL sertifikalarının nasıl yok sayılacağı, çalıştırılması gereken belirli komutlar ve güvenlikle ilgili olası endişeler ayrıntılı olarak açıklanacaktır.

cURL ve SSL Nedir?

cURL (Client URL), çeşitli protokolleri kullanarak veri aktarımı için bir komut satırı ve kütüphane sağlayan bir yazılım projesidir. Bu araç, çok sayıda ağ türüyle çalıştığı için istekleri otomatikleştirmek, API testi yapmak veya çeşitli web kaynaklarından bilgi almak için çok kullanışlıdır.

SSL (Secure Sockets Layer), İnternet üzerinden veri iletimini güvence altına alan bir şifreleme teknolojisi biçimidir. Bu sertifika, belirli bir web sitesinin gerçek olduğunu kanıtlayan ve kullanıcı ile sunucu arasında güvenli bir bağlantı kuran bir belgedir. Kendinden imzalı, süresi dolmuş veya geçersiz sunucu sertifikaları, cURL çalıştırılırken engellemelere yol açar.

Bu tür zorluklardan kaçınmak için SSL'yi devre dışı bırakmak daha iyidir, böylece cURL istekleri gerçekleştirmek daha yüksek bir başarı oranına sahip olacaktır. Bu test yöntemi çok kullanışlıdır, ancak güvenlik açısından tehlikeli olabilir.

cURL, curl veya Curl: Aradaki Fark Nedir?

Aracın resmi adı cURL'dir, kelimenin ilk harfi küçük, geri kalanı büyüktür. Belgelerde, makalelerde ve kodlarda, başka birçok form bulacaksınız:

• curl (tümü küçük harf) - Çoğu geliştirici kodlarda ve komut satırlarında bu şekilde yazma eğilimindedir.
• Curl (büyük C) - Bu bazen resmi olmayan belgelerde kullanılır ancak yanlıştır.

Yazılışı ne olursa olsun, cURL her zaman cURL'dir. URL sözdizimi ile veri aktarımı için çapraz platform ve komut satırı aracıdır. Web geliştirme, sistem yönetimi ve DevOps alanındaki çoğu kişi bunu HTTP istekleri yapmak, API'leri test etmek ve sunucu otomasyonu etkileşimleri gerçekleştirmek için kullanır.

SSL Doğrulamasını Neden Devre Dışı Bırakmalısınız?

Normalde, veri aktarım yardımcı programı, sahte siteleri ve saldırıları engellemek için kullanıcının ekranında görünen sertifikaları doğrular. Ancak cURL'ün sertifika kontrolünü görmezden geldiği senaryolar da vardır. Şimdi bu durumların ne zaman ortaya çıktığına bakalım:

• Test veya yerel sunucularda kullanılan kendi kendine verilen sertifikalar. API'leri veya uygulamaları test ederken, geliştiriciler genellikle resmi Sertifika Yetkilileri (CA) tarafından onaylanmayan kendinden imzalı sertifikalar oluştururlar.
• Çalışanların dahili kurumsal hizmetlere erişimi. Bir kuruluşun Dahili sunucuları genellikle güvenilir olmayan sertifikalara sahiptir. Bu tür kaynaklara otomatik erişimin zorunlu olduğu durumlarda, sertifika denetimini kapatmak en uygun geçici çözümdür.
• Bazı sitelerin süresi dolmuş veya geçersiz bir sunucu sertifikası vardır. Böyle bir kaynaktan bilgi almak çok önemliyse, kullanıcı belirli bir sertifika hatasıyla karşılaşmadan doğrulama geçici olarak kapatılabilir. Bu durumda cURL SSL hatalarını yok sayar ve her şey yolunda gider.
• Denetimin devre dışı bırakılması, ağ isteklerinin otomasyonunu gerektiren betiklerde başarısızlığı önlemeye yardımcı olur. Bir komut dosyası sürekli olarak yanlış sertifikaya sahip bir sunucuya istek gönderiyorsa, denetimin devre dışı bırakılması gerekir.

Kontrol hayati bir faktör olmasına rağmen, tamamen kapatmak sorunlara ve risklere yol açabilir. Bunları daha sonra tartışacağız.

SSL'i Devre Dışı Bırakmanın Güvenlik Riskleri

cURL'ün sertifikaları yok sayması, bağlantının çeşitli güvenlik saldırıları yoluyla istismar edilebileceği anlamına gelir ve bu özellikle parolalar, belirteçler ve hatta ödeme verileri gibi hassas bilgiler söz konusu olduğunda önemlidir.

Ana tehditler:

• Man In The Middle Attack (MITM) - kullanıcı ile sunucu arasındaki bilgilerin ele geçirildiği ve verilerin değiştirildiği veya ikame edildiği bir teknik. Doğrulayacak kimse olmadığında daha da büyük bir risk oluşturur çünkü kötü niyetli saldırıları uygulamak çok kolay hale gelir. Örneğin, bir oturum açma sayfası sahte bir sayfa ile değiştirilebilir, böylece saldırgan kimlik bilgilerini kolayca toplayabilir.
• cURL sunucu sertifikasını doğrulayamaz ve geçersiz kılar. Böylece, aranan düğümün bağlanılan düğüm olduğundan emin olmanın bir yolu yoktur ve aktörleri güvenilir kaynaklar olarak göstererek sitelerin değiştirilmesine izin verir.
• Test sırasında doğrulama devre dışı bırakılırsa ve bu kod üretim ortamına taşınırsa, gizli bilgileri tehlikeye atan sızıntı ve hatta kaba kuvvet saldırıları olasılığında artış olabilir.

CURL'ün SSL hatalarını görmezden gelmesi gerekiyorsa, kendinden imzalı sertifikaları görüntülemek çok önemlidir:

• Doğrulamayı yalnızca test ortamında atlayın ve üretimde bundan kaçının;
• Gizli bilgileri şifrelenmemiş bir bağlantı üzerinden iletmeyin;
• Kendinden imzalı sertifikayı elle güvenilene ekleyin;
• Doğrulamanın üretim kodunda kalmasını sağlamak için yapılandırma hataları hariç olmak üzere kodu izleyin.

Bir sonraki blokta, sertifika doğrulamasını devre dışı bırakmak için komut satırında gerçekleştirilen işlemleri ayrıntılı olarak analiz edeceğiz.

cURL ile SSL Hataları Nasıl Atlanır

cURL'ün SSL'i yok saymasını sağlamak için, kimlik doğrulama doğrulamasını askıya alan belirli parametreler eklemeniz gerekir. Daha önce de belirtildiği gibi, bu tür uygulamalar yalnızca uygun şekilde güvenli bir ortamda kullanılabilir.

Geçersiz site sertifikası hatasını azaltmak için en etkili yöntem, geçici bir doğrulama sahteciliğini manuel olarak yapılandırmaktır. Bu, aşağıdaki parametrelerle yapılabilir:

• -k veya --insecure—sunucu sertifikasının geçersiz olduğu bir siteye bağlanırken kullanmak için;
• --cacert—kullanıcı sertifika dosyasının depolandığı konumu tanımlamak için.

Sertifika doğrulamasını yok sayan bir cURL çağrısı örneğini nasıl yapabileceğiniz aşağıda açıklanmıştır:

curl -k https://example.com

Bu, süresi dolmuş bir sunucu sertifikası olsa bile cURL çağrısının geçmesine izin verecektir.

Veri göndermek istiyorsanız (POST isteği gibi):

curl -k -X POST -H "Content-Type: application/x-www-form-urlencoded" -d "param=value" https://example.com/api

En üst düzeyde güvenlik için, doğrudan dosyanın bulunduğu dizini seçmelisiniz.

curl --cacert /path/to/cert.pem https://example.com

Komut Dosyanızda SSL Doğrulamasını Devre Dışı Bırakma

Talebin bir komut satırı aracılığıyla otomatikleştirilmesi amaçlanıyorsa ve kullanıcının varlığına ihtiyaç duyulmaması gerekiyorsa, bu tür senaryolarda sertifika kontrollerini devre dışı bırakmak faydalı olacaktır.

İşte Bash'te cURL'ün SSL'yi nasıl görmezden geldiğine dair bir örnek:

#!/bin/bash
URL="https://example.com"
DATA=$(curl -k $URL)
echo "Server response: $DATA"

Python ile requests modülünü verify False olarak ayarlanmış şekilde kullanabilirsiniz:

import requests
url = "https://example.com"
response = requests.get(url, verify=False)
print(response.text)

Bu komutu çalıştırırken, Python size güvenli olmayan bir bağlantı ile ilgili bir uyarı verecektir. Ek olarak, sitenin geçersiz bir sunucu sertifikasına sahip olması durumunda ortaya çıkan uyarıları devre dışı bırakmak için kod yazdığınızdan emin olmanız gerekir:

import requests import urllib3 

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) 

url = "https://example.com"
response = requests.get(url, verify=False)
print(response.text)

Ve şimdi cURL ile PHP için:

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "https://example.com");
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$output = curl_exec($ch);
curl_close($ch);
echo $output;

Aşağıdaki tabloda SSL kontrolünü göz ardı etmenin en yaygın yöntemleri, bunların kullanımı ve olası riskleri listelenmektedir.

Sonuç

Arızalı sunucu sertifikaları, cURL ile çalıştırıldıklarından daha fazla sorun yaratır. Sertifikalar veri aktarımı sırasında kullanıcılar için güvenlik sağlar. Bu nedenle, doğrulamayı devre dışı bırakmak, cURL'de hata ayıklama hatası bulunduğunda başvurulacak son çaredir. Hatanın nedenine bağlı olarak, belge güncelleme, güvenilir bölgeye ekleme veya sadece doğru olanla değiştirme gibi daha az aşırı yaklaşımlar vardır.

SSL kontrolü olmadan bağlantı sağlıksız olur ve diğer kullanıcılar tarafından kolayca kötüye kullanılabilir. Bu yaklaşım yalnızca bir test yapılırken veya hizmet harici olduğunda olduğu gibi kontrollü ortamlarda kabul edilebilir. Normal şartlar altında geçersiz bir sunucu sertifikası sunulduğunda, veri maskeleme ve diğer güvenlik açıkları ortaya çıkacağından bu maddenin çalışma kodunda ayarlanmaması çok önemlidir.