如何使用 cURL 忽略 SSL 证书错误？分步指南

使用 cURL 执行 HTTP 请求时，有时会出现验证 SSL 证书的问题。当使用自签名服务器证书或证书过期时，就会出现这种情况。在这种情况下，cURL 默认会拒绝连接，以保护用户免受可能的风险。不过，这可能会在 API 测试、封闭网络工作或使用本地服务时阻碍进程。这就是为什么我们需要了解 cURL 在哪些情况下会忽略 SSL 以及如何实现它。

本文将详细介绍如何在 cURL 中忽略 SSL 证书、需要执行的特定命令以及可能存在的安全问题。

什么是 cURL 和 SSL？

cURL（Client URL）是一个软件项目，它提供了一个命令行和库，用于使用各种协议传输数据。该工具适用于多种网络类型，因此对于自动请求、API 测试或从各种网络资源中检索信息非常有用。

SSL (Secure Sockets Layer) 是一种加密技术，可确保数据在互联网上传输的安全。该证书是证明某个网站真实性并在用户和服务器之间建立安全连接的文件。自签名、过期或无效的服务器证书会导致 cURL 运行受阻。

为避免此类挑战，最好在 cURL 中禁用 SSL，这样执行 cURL 请求的成功率会更高。这种测试方法非常有用，但在安全方面可能存在危险。

cURL、curl 或 Curl：有什么区别？

该工具的正式名称为 cURL，单词的第一个字母为小写，其余均为大写。在文档、文章和代码中，您还可以找到其他几种形式：

• curl（全部小写）-大多数开发人员倾向于在代码和命令行中这样写。
• Curl（大写 C）-有时在非正式文件中使用，但并不正确。

无论拼写如何，cURL 始终是 cURL。它是一种跨平台的命令行工具，用于使用 URL 语法传输数据。大多数从事网络开发、系统管理和 DevOps 的人都用它来发出 HTTP 请求、测试 API 和执行服务器自动化交互。

为什么要禁用 SSL 验证？

通常，数据传输工具会验证用户屏幕上显示的证书，以防止假冒网站和攻击。但在某些情况下，cURL 会忽略证书检查。让我们来看看什么情况下会出现这种情况：

• 测试或本地服务器使用的自签发证书。在测试应用程序接口或应用程序时，开发人员通常会创建未经官方认证机构（CA）认可的自签证书。
• 员工访问企业内部服务。企业的内部服务器通常都有不可信的证书。在必须自动访问此类资源时，关闭证书检查是一个最佳的临时解决方案。
• 某些网站的服务器证书过期或无效。如果必须从此类资源中提取信息，可以暂时关闭验证，而用户不会遇到特定的证书错误。在这种情况下，cURL 会忽略 SSL 错误，一切运行正常。
• 禁用检查有助于避免需要自动处理网络请求的脚本出现故障。当脚本持续向证书不正确的服务器发送请求时，就需要禁用检查。

尽管检查是一个重要因素，但将其完全关闭也会带来问题和风险。我们接下来将讨论这些问题。

禁用 SSL 的安全风险

当 cURL 忽视证书时，就意味着可以通过各种安全攻击来利用连接，这一点在涉及密码、令牌甚至支付数据等敏感信息时尤为重要。

主要威胁

• Man In The Middle Attack (MITM) 一种拦截用户与服务器之间的信息并篡改或替换数据的技术。在无人验证的情况下，这种技术会带来更大的风险，因为实施恶意攻击变得太容易了。例如，登录页面可以被替换成一个假的页面，这样攻击者就可以轻而易举地获取凭据。
• cURL 无法验证服务器证书，导致证书失效。这样，就无法确保想要连接的节点就是正在连接的节点，并允许冒充可信资源的行为者替换网站。
• 如果在测试过程中，验证被禁用，代码被带到生产环境中，那么泄密的几率就会增加，甚至会发生暴力攻击，从而泄露机密信息。

如果要求 cURL 忽略 SSL 错误，那么最重要的是查看自签名证书：

• 只在测试环境中绕过验证，避免在生产环境中绕过验证；
• 请勿通过未加密连接传输机密信息；
• 手动将自签名证书添加到受信任状态；
• 监控代码（不包括配置错误），确保在生产代码中保持验证。

下一步，我们将详细分析命令行中禁用证书验证的过程。

如何使用 cURL 绕过 SSL 错误

要使 cURL 忽略 SSL，必须加入特定参数来暂停身份验证验证。如前所述，这种做法只能在适当安全的环境中使用。

减少无效网站证书错误的最有效方法是手动配置临时验证欺骗。可使用以下参数进行配置：

• -k 或 --insecure—用于连接到服务器证书无效的网站；
• --cacert—来定义存储用户证书文件的位置。

下面是一个忽略证书验证的 cURL 调用示例：

curl -k https://example.com

即使服务器证书过期，这也将允许 cURL 调用通过。

如果您想发送数据（例如在 POST 请求中）：

curl -k -X POST -H "Content-Type: application/x-www-form-urlencoded" -d "param=value" https://example.com/api

为确保最大安全性，您应直接选择文件所在的目录。

curl --cacert /path/to/cert.pem https://example.com

在脚本中禁用 SSL 验证

如果请求是通过命令行自动执行的，不需要用户在场，那么在这种情况下禁用证书检查是有好处的。

下面是一个 Bash 示例，说明 cURL 如何忽略 SSL：

#!/bin/bash
URL="https://example.com"
DATA=$(curl -k $URL)
echo "Server response: $DATA"

使用 Python 时，可以将请求模块的校验设置为 "假"：

import requests
url = "https://example.com"
response = requests.get(url, verify=False)
print(response.text)

运行此命令时，Python 会给出不安全连接的警告。此外，您还需要编写代码，以禁用在网站的服务器证书无效时发出的警告：

import requests import urllib3 

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) 

url = "https://example.com"
response = requests.get(url, verify=False)
print(response.text)

现在是使用 cURL 的 PHP：

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "https://example.com");
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$output = curl_exec($ch);
curl_close($ch);
echo $output;

下表列出了忽略 SSL 检查的最常见方法、用法和可能存在的风险。

结论

服务器证书失灵不仅会在使用 cURL 时产生更多问题。证书可确保用户在数据传输过程中的安全。因此，当发现 cURL 调试出错时，禁用验证是最后的办法。根据错误的原因，还有其他一些不那么极端的方法，如更新文档、将其添加到受信任区域或直接与正确的证书互换。

如果没有 SSL 检查，连接将是不健康的，很容易被其他用户滥用。这种方法只有在受控环境下才可接受，例如进行测试或服务对外时。在正常情况下，当出现无效服务器证书时，关键是不要在工作代码中设置该条款，否则会出现数据屏蔽和其他安全漏洞。