Cách bỏ qua lỗi chứng chỉ SSL với cURL: Hướng dẫn từng bước

Trong khi thực hiện các yêu cầu HTTP bằng cURL, đôi khi có một vấn đề với việc xác minh chứng chỉ SSL. Điều này có thể xảy ra khi chứng chỉ máy chủ tự ký hoặc nếu hết hạn. Trong những trường hợp như vậy, cURL theo mặc định phủ nhận kết nối để bảo vệ người dùng khỏi các rủi ro có thể xảy ra. Tuy nhiên, điều này có thể cản trở quá trình trong quá trình thử nghiệm API, làm việc trên các mạng đóng hoặc sử dụng các dịch vụ cục bộ. Đó là lý do tại sao chúng ta cần tìm hiểu trong hoàn cảnh nào có thể bỏ qua SSL và cách thực hiện nó.

Bài viết này sẽ chi tiết cách bỏ qua các chứng chỉ SSL trong cURL, các lệnh cụ thể cần được thực thi và các mối quan tâm có thể liên quan đến bảo mật.

cURL và SSL là gì?

cURL (Client URL) là một dự án phần mềm cung cấp một dòng lệnh và thư viện để chuyển dữ liệu bằng các giao thức khác nhau. Công cụ này rất hữu ích để tự động hóa các yêu cầu, kiểm tra API hoặc truy xuất thông tin từ các tài nguyên web khác nhau vì nó hoạt động với vô số loại mạng.

SSL (Secure Socket Layer) là một hình thức công nghệ mã hóa đảm bảo việc truyền dữ liệu qua Internet. Chứng chỉ này là một tài liệu chứng minh một trang web nhất định là xác thực và thiết lập kết nối an toàn giữa người dùng và máy chủ. Chứng chỉ máy chủ tự ký, hết hạn hoặc không hợp lệ dẫn đến các khối trong khi vận hành cURL.

Để thoát khỏi những thách thức như vậy, tốt hơn là nên tắt SSL, do đó, việc thực hiện các yêu cầu cURL sẽ có tỷ lệ thành công cao hơn. Phương pháp thử nghiệm này rất hữu ích, nhưng có thể là bảo mật nguy hiểm.

cURL, curl hoặc Curl: Sự khác biệt là gì?

Tên chính thức của công cụ là cURL, chữ cái đầu tiên của từ là chữ thường và phần còn lại là chữ hoa. Trong các tài liệu, bài viết và mã, bạn sẽ tìm thấy một số hình thức khác:

• curl (tất cả các chữ thường) - Đây là cách mà hầu hết các nhà phát triển có xu hướng viết nó theo mã và dòng lệnh.
• Curl (Capital C) - Điều này đôi khi được sử dụng trong các tài liệu không chính thức nhưng không chính xác.

Bất kể chính tả, cURLl luôn luôn cong. Đây là một công cụ dòng chữ và đa nền tảng để chuyển dữ liệu bằng cú pháp URL. Hầu hết mọi người trong phát triển web, quản trị hệ thống và DevOps sử dụng nó để thực hiện các yêu cầu HTTP, API thử nghiệm và thực hiện các tương tác tự động hóa máy chủ.

Tại sao vô hiệu hóa xác minh SSL?

Thông thường, tiện ích truyền dữ liệu xác nhận các chứng chỉ xuất hiện trên màn hình người dùng để ngăn chặn các trang web giả và các cuộc tấn công. Tuy nhiên, có các kịch bản khi cURL bỏ qua kiểm tra chứng chỉ. Hãy cùng xem xét khi những trường hợp đó phát sinh:

• Giấy chứng nhận tự cấp được sử dụng với kiểm tra hoặc máy chủ cục bộ. Trong khi kiểm tra API hoặc ứng dụng, các nhà phát triển thường tạo các chứng chỉ tự ký mà không được xác nhận bởi các cơ quan chứng nhận chính thức (CA).
• Nhân viên truy cập vào các dịch vụ công ty nội bộ. Một tổ chức Máy chủ nội bộ thường có các chứng chỉ mà aren đáng tin cậy. Trong trường hợp truy cập tự động vào các tài nguyên đó là bắt buộc, việc tắt kiểm tra chứng chỉ là một giải pháp tạm thời tối ưu.
• Một số trang web có chứng chỉ máy chủ đã hết hạn hoặc không hợp lệ. Nếu điều quan trọng là kéo thông tin từ một tài nguyên như vậy, xác thực có thể bị tắt tạm thời mà không có người dùng gặp phải lỗi chứng chỉ cụ thể. Trong trường hợp này, cURL bỏ qua các lỗi SSL và mọi thứ hoạt động tốt.
• Vô hiệu hóa kiểm tra giúp tránh thất bại trong các tập lệnh yêu cầu tự động hóa các yêu cầu mạng. Khi một tập lệnh liên tục gửi các yêu cầu đến một máy chủ có chứng chỉ không chính xác, việc kiểm tra cần phải bị vô hiệu hóa.

Mặc dù kiểm tra là một yếu tố quan trọng, nhưng việc tắt tất cả các cách có thể gây ra vấn đề và rủi ro. Chúng tôi sẽ thảo luận về những người tiếp theo.

Rủi ro bảo mật của việc vô hiệu hóa SSL

Khi cURL bỏ qua các chứng chỉ, điều đó có nghĩa là kết nối có thể được khai thác thông qua các cuộc tấn công bảo mật khác nhau và điều này đặc biệt quan trọng khi thông tin nhạy cảm bao gồm mật khẩu, mã thông báo hoặc thậm chí dữ liệu thanh toán có liên quan.

Các mối đe dọa chính:

• Man In The Middle Attack (MITM) - Một kỹ thuật trong đó thông tin giữa người dùng và máy chủ bị chặn và dữ liệu bị thay đổi hoặc thay thế. Nó đặt ra một rủi ro thậm chí còn lớn hơn khi không có ai để xác minh vì nó trở nên quá dễ dàng để thực hiện các cuộc tấn công độc hại. Ví dụ, một trang đăng nhập có thể được thay thế bằng một trang giả để kẻ tấn công có thể dễ dàng thu hoạch thông tin xác thực.
• cURL không thể xác minh chứng chỉ máy chủ, vô hiệu hóa nó. Do đó, không có cách nào để đảm bảo rằng nút mong muốn là mã được kết nối và cho phép thay thế các trang web bằng cách đặt ra các tác nhân là tài nguyên đáng tin cậy.
• Nếu trong quá trình thử nghiệm, việc xác minh bị vô hiệu hóa và mã đó được chuyển đến môi trường sản xuất, thì có thể có sự gia tăng cơ hội rò rỉ hoặc thậm chí các cuộc tấn công vũ phu làm ảnh hưởng đến thông tin bí mật.

Nếu nó được yêu cầu cURL bỏ qua các lỗi SSL, thì việc xem các chứng chỉ tự ký là điều tối quan trọng:

• Bỏ qua xác minh chỉ trong môi trường thử nghiệm, và tránh nó trong sản xuất;
• Không truyền thông tin bí mật thông qua một kết nối không được mã hóa;
• Thêm chứng chỉ tự ký vào đáng tin cậy bằng tay;
• Giám sát mã, không bao gồm các lỗi cấu hình, để đảm bảo xác minh vẫn còn trong mã sản xuất.

Trong khối tiếp theo, chúng tôi sẽ phân tích chi tiết các quy trình được thực hiện trong dòng lệnh để vô hiệu hóa xác minh chứng chỉ.

Cách bỏ qua các lỗi SSL với cURL

Để thực hiện cURL bỏ qua SSL, bạn phải bao gồm các tham số cụ thể đình chỉ xác minh xác thực. Như đã lưu ý trước đây, các thực tiễn như vậy chỉ có thể được sử dụng trong một môi trường được bảo mật đúng đắn.

Phương pháp hiệu quả nhất để giảm thiểu lỗi chứng chỉ trang web không hợp lệ là cấu hình thủ công giả mạo xác minh tạm thời. Điều này có thể được thực hiện với các tham số sau:

• -k hoặc --insecure—để sử dụng kết nối với một trang web nơi chứng chỉ máy chủ của máy chủ hóa ra là không hợp lệ;
• --cacert—để xác định vị trí nơi lưu trữ tệp chứng chỉ người dùng.

Dưới đây là cách bạn có thể thực hiện một ví dụ về cuộc gọi cURL bỏ qua xác minh chứng chỉ:

curl -k https://example.com

Điều này sẽ cho phép cuộc gọi cURL đi qua ngay cả với chứng chỉ máy chủ đã hết hạn.

Nếu bạn muốn gửi dữ liệu (chẳng hạn như trong một yêu cầu POST):

curl -k -X POST -H "Content-Type: application/x-www-form-urlencoded" -d "param=value" https://example.com/api

Để bảo mật tối đa, bạn sẽ trực tiếp chọn thư mục nơi đặt tệp.

curl --cacert /path/to/cert.pem https://example.com

Vô hiệu hóa xác minh SSL trong tập lệnh của bạn

Nếu yêu cầu có nghĩa là được tự động hóa thông qua một dòng lệnh và không cần thiết sự hiện diện của người dùng, thì việc vô hiệu hóa kiểm tra chứng chỉ trong các kịch bản đó là có lợi trong các kịch bản đó.

Dưới đây là một ví dụ trong bash, cách cURL bỏ qua SSL:

#!/bin/bash
URL="https://example.com"
DATA=$(curl -k $URL)
echo "Server response: $DATA"

Với Python, bạn có thể sử dụng mô -đun yêu cầu với xác minh được đặt thành Sai:

import requests
url = "https://example.com"
response = requests.get(url, verify=False)
print(response.text)

Khi chạy lệnh này, Python sẽ đưa ra cảnh báo về kết nối không an toàn. Ngoài ra, bạn sẽ cần đảm bảo rằng bạn viết mã để vô hiệu hóa các cảnh báo phát sinh trong trường hợp trang web có chứng chỉ máy chủ không hợp lệ:

import requests import urllib3 

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) 

url = "https://example.com"
response = requests.get(url, verify=False)
print(response.text)

Và bây giờ cho PHP với cURL:

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "https://example.com");
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$output = curl_exec($ch);
curl_close($ch);
echo $output;

Bảng dưới đây liệt kê các phương pháp phổ biến nhất để bỏ qua kiểm tra SSL, sử dụng của chúng và rủi ro có thể xảy ra.

Phần kết luận

Chứng chỉ máy chủ bị trục trặc tạo ra nhiều vấn đề hơn chỉ khi chúng được vận hành với cURL. Giấy chứng nhận đảm bảo an toàn cho người dùng trong quá trình truyền dữ liệu. Do đó, vô hiệu hóa xác minh là phương sách cuối cùng khi người ta tìm thấy một sự cố gắng gỡ lỗi lỗi. Dựa trên nguyên nhân của lỗi, có những cách tiếp cận khác, ít cực đoan hơn, chẳng hạn như cập nhật tài liệu, thêm khu vực đáng tin cậy hoặc chỉ hoán đổi nó với chính xác.

Nếu không kiểm tra SSL, kết nối sẽ không lành mạnh và dễ bị lạm dụng bởi những người dùng khác. Cách tiếp cận này chỉ được chấp nhận trong các môi trường được kiểm soát, chẳng hạn như khi một người đang thực hiện một bài kiểm tra hoặc khi dịch vụ bên ngoài. Trong các trường hợp bình thường khi chứng chỉ máy chủ không hợp lệ được trình bày, điều quan trọng là điều khoản này không được đặt trong mã làm việc vì mặt nạ dữ liệu và các lỗ hổng bảo mật khác sẽ được trình bày.