Як ігнорувати помилки SSL-сертифіката за допомогою cURL

При виконанні HTTP-запитів за допомогою cURL часто виникає помилка, пов'язана з перевіркою SSL-сертифікатів. Це може трапитися, якщо сайт використовує самопідписаний, недійсний сертифікат сервера або коли його термін дії закінчився. У таких випадках cURL за замовчуванням відхиляє з'єднання, щоб захистити користувача від потенційних загроз. Однак у низці ситуацій це перешкоджає процесу, наприклад, під час тестування API, роботи в закритих мережах або під час доступу до локальних сервісів.

Далі в статті ми розберемо, як у cURL вимкнути перевірку SSL, які команди для цього використати та обговоримо можливі ризики безпеки.

Що таке cURL і SSL?

cURL (Client URL) — утиліта командного рядка, призначена для передачі даних між клієнтом і сервером. Вона підтримує роботу з різними мережевими протоколами, завдяки чому широко застосовується для автоматизації запитів, тестування API і завантаження інформації з веб-ресурсів.

SSL (Secure Sockets Layer) — технологія шифрування, що забезпечує безпечну передачу даних через інтернет. SSL-сертифікат — це цифровий документ, який підтверджує автентичність веб-сайту і забезпечує захищене з'єднання між сервером і користувачем. Недійсний сертифікат сервера, а також випадки, коли він самопідписаний або його термін дії закінчився, призводять до блокувань у процесі роботи з cURL.

Якщо необхідно уникнути таких проблем, важливо вимкнути SSL у cURL, щоб успішно виконувати запити. Такий метод полегшує тестування, але несе потенційні ризики безпеки.

cURL, curl або Curl: у чому різниця?

Офіційна назва інструменту — cURL, де перша літера мала, а решта великі. Однак у документації, статтях і коді можна зустріти й інші варіанти написання:

• curl (повністю в нижньому регістрі) — так найчастіше пишуть розробники в коді та командному рядку;
• Curl (із великої літери) — іноді використовується в неофіційних джерелах, але це невірний варіант.

Не дивлячись на різне написання, завжди йдеться про один і той самий інструмент. Він широко застосовується у веб-розробці, системному адмініструванні та DevOps для виконання HTTP-запитів, тестування API та автоматизованої взаємодії із серверами.

Чому варто відключати перевірку SSL?

У нормальних умовах утиліта для передачі даних перевіряє автентичність SSL-сертифікатів, щоб захистити користувача від підроблених сайтів і атак. Однак у деяких ситуаціях необхідно ігнорувати SSL-сертифікат у cURL. Розглянемо, в яких саме:

• Робота з тестовими або локальними серверами. При тестуванні API або застосунків розробники часто використовують самопідписані сертифікати, які не підтверджені офіційними центрами сертифікації (CA).
• Доступ до внутрішніх корпоративних сервісів. Внутрішні сервери організацій нерідко використовують сертифікати, які не розпізнаються як довірені. Якщо потрібен автоматизований доступ до таких ресурсів, вимкнення перевірки SSL — оптимальне тимчасове рішення.
• Обхід помилок SSL на застарілих сайтах. На деяких сайтах зустрічається сертифікат сервера, що закінчився або є недійсним. Якщо важливо отримати дані з такого ресурсу, можна тимчасово вимкнути верифікацію, і помилка сертифіката SSL не виникатиме.
• Автоматизація мережевих запитів. У сценаріях, де скрипт виконує регулярні запити на сервер з некоректним сертифікатом, вимкнення перевірки допомагає уникнути збоїв.

Не дивлячись на це, повна відсутність контролю може призвести до певних проблем і ризиків, які ми розглянемо далі.

Ризики безпеки під час вимкнення SSL

Відключення перевірки SSL робить з'єднання вразливим для атак. Це особливо критично під час передачі чутливої інформації — паролів, токенів, платіжної інформації.

Основні загрози:

• Атака MITM (Man-in-the-Middle) — спосіб перехоплення і підміни даних між користувачем і сервером. Без верифікації зловмиснику легше реалізувати атаку в реальному часі. Наприклад, підставити фальшиву сторінку входу для крадіжки облікових даних.
• Якщо на сайті недійсний сертифікат сервера, cURL не може впевнитися, що підключається до потрібного вузла. Це дає змогу зловмисникам підміняти сайти, видаючи себе за довірені ресурси.
• Якщо вимкнення перевірки SSL випадково залишиться в коді після тестування, це може відкрити доступ до небезпечних з'єднань у робочому середовищі, збільшуючи ризик витоку даних і атак.

За необхідності в cURL ігнорувати помилку сертифіката, важливо дотримуватися запобіжних заходів:

• Обходитися без підтвердження тільки в тестовому середовищі, а в продакшені уникати цього;
• Не передавати конфіденційну інформацію через незашифроване з'єднання;
• Додавати самопідписаний сертифікат до довірених вручну;
• Контролювати код, виключаючи помилки конфігурації, щоб у робочому коді верифікація залишилася.

У наступному розділі розглянемо докладніше команди, які використовуються в командному рядку для вимкнення перевірки SSL.

Як обійти помилки SSL за допомогою cURL

Щоб ігнорувати помилки сертифікатів SSL у cURL, необхідно використовувати спеціальні параметри, які відключають перевірку їхньої автентичності. Однак, як уже згадувалося, таке рішення слід застосовувати лише в безпечних середовищах.

Основний спосіб, як виправити недійсний сертифікат сайту — налаштувати тимчасовий обхід перевірки SSL. Це передбачає використання таких параметрів:

• -k або --insecure — для підключення до сайту, на якому встановлено недійсний сертифікат сервера;
• --cacert — для вказівки шляху до файлу з користувацьким сертифікатом.

Приклад запиту, як ігнорувати помилки SSL:

curl -k https://example.com

Це дасть змогу виконати запит навіть у разі недійсного сертифіката сервера.

Якщо потрібно передати дані (наприклад, POST-запит):

curl -k -X POST -H "Content-Type: application/x-www-form-urlencoded" -d "param=value" https://example.com/api

Проте найбезпечніший варіант — вказати шлях до документа вручну:

curl --cacert /path/to/cert.pem https://example.com

Відключення перевірки SSL у скрипті

При автоматизованих запитах через командний рядок у скриптах, вимкнення SSL може бути корисним, якщо з'єднання необхідно встановити без втручання користувача.

Приклад на Bash, як у cURL ігнорувати сертифікат SSL:

#!/bin/bash
URL="https://example.com"
DATA=$(curl -k $URL)
echo "Відповідь сервера: $DATA"

У Python можна використовувати бібліотеку requests з параметром verify=False:

import requests
url = "https://example.com"
response = requests.get(url, verify=False)
print(response.text)

При виконанні цієї команди Python видасть попередження про небезпечне з'єднання. У такому разі необхідно прописати код для вимкнення попереджень, що спрацьовують у разі, якщо на сайті недійсний сертифікат сервера:

import requests import urllib3 

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) 

url = "https://example.com"
response = requests.get(url, verify=False)
print(response.text)

Для PHP із cURL:

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "https://example.com");
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$output = curl_exec($ch);
curl_close($ch);
echo $output;

У таблиці нижче наведено основні методи обходу SSL-перевірки, їх застосування та можливі загрози.

Висновок

Недійсний сертифікат сервера не просто так викликає помилки під час роботи з cURL. Це дає користувачам гарантії безпеки під час передачі даних. Відповідно, вимкнення перевірки є крайнім заходом у ситуаціях, коли виникає в cURL помилка SSL-сертифіката. Залежно від причини появи помилки, є й інші, менш радикальні рішення, наприклад, документ можна оновити, додати до довірених або замінити на коректний.

Вимкнення перевірки SSL знижує безпеку з'єднання і може зробити його вразливим для атак. Такий метод допустимий тільки в контрольованих умовах, наприклад, під час тестування або роботи з внутрішніми сервісами. Важливо не залишати його в робочому коді, щоб уникнути ризику витоку даних і можливих вразливостей через недійсний сертифікат сервера або інші проблеми з ним.