Guía de configuración de curl SSL, TLS y Proxy

Referencia rápida de flags SSL y Proxy

curl -k: Ignorar errores de certificado SSL

Qué hace

El flag -k (o --insecure) deshabilita toda verificación de certificados SSL/TLS. curl no comprobará si el certificado del servidor está firmado por una CA de confianza, si el nombre de host coincide o si el certificado ha expirado.

Cuándo usarlo

Usa solo para desarrollo local con certificados autofirmados o entornos de prueba. Para staging/producción, usa --cacert con el certificado CA real — es más seguro y más explícito.

$ curl -k https://localhost:8443/api/health

curl --cacert: Usar un certificado CA personalizado

Qué hace

El flag --cacert indica a curl que verifique el certificado SSL del servidor contra un archivo de bundle CA (Certificate Authority) específico en formato PEM, en lugar del almacén de confianza del sistema.

Cuándo usarlo

Úsalo cuando tu servidor use un certificado firmado por una CA privada o interna que no está en el almacén de confianza del sistema. Esto es común en entornos corporativos, clústeres Kubernetes y configuraciones Docker con PKI interna.

$ curl --cacert /path/to/corporate-ca.pem https://internal-api.example.com/data

curl --cert: Certificado de cliente (Mutual TLS)

Qué hace

El flag --cert proporciona un certificado del lado del cliente para mutual TLS (mTLS). En mTLS, tanto el servidor como el cliente presentan certificados para verificar la identidad del otro. El archivo de certificado debe estar en formato PEM o PKCS#12.

Cuándo usarlo

Requerido cuando el servidor exige autenticación con certificado de cliente — común en APIs bancarias, servicios gubernamentales, comunicación de dispositivos IoT y arquitecturas zero-trust. Combina siempre con --key a menos que la clave esté incrustada en el archivo del certificado.

$ curl --cert client.pem --key client-key.pem https://mtls-api.example.com/secure

curl --key: Clave privada del certificado de cliente

Qué hace

El flag --key especifica el archivo de clave privada que se empareja con el certificado de cliente proporcionado mediante --cert. La clave debe coincidir con el certificado. Si la clave está protegida con contraseña, curl solicitará la contraseña (o usa --pass).

Cuándo usarlo

Usa siempre junto con --cert. Si la clave privada ya está incrustada en el archivo del certificado (común con archivos PKCS#12 / .p12), puedes omitir --key.

$ curl --cert client.pem --key client-key.pem --cacert server-ca.pem https://api.example.com/secure

curl --tlsv1.2: Forzar TLS 1.2 mínimo

Qué hace

El flag --tlsv1.2 obliga a curl a usar TLS 1.2 como versión mínima aceptable para el handshake SSL/TLS. Los protocolos más antiguos (TLS 1.0, 1.1, SSLv3) son rechazados.

Cuándo usarlo

Úsalo para imponer un estándar mínimo de seguridad. TLS 1.2 es requerido para el cumplimiento de PCI-DSS y es soportado por todos los servidores modernos. La mayoría de los builds modernos de curl ya usan TLS 1.2+ por defecto, pero este flag lo hace explícito.

$ curl --tlsv1.2 -v https://secure.example.com/api 2>&1 | grep 'SSL connection'

curl --tlsv1.3: Forzar TLS 1.3 mínimo

Qué hace

El flag --tlsv1.3 obliga a curl a usar TLS 1.3 — la versión más rápida y segura de TLS. TLS 1.3 elimina el round-trip adicional en el handshake (soporte 0-RTT) y elimina todos los cipher suites obsoletos.

Cuándo usarlo

Úsalo cuando sepas que el servidor soporta TLS 1.3 y quieras el mejor rendimiento y seguridad. Nota: TLS 1.3 requiere OpenSSL 1.1.1+ o una biblioteca TLS compatible. No todos los servidores lo soportan aún.

$ curl --tlsv1.3 https://modern-api.example.com/data

Opciones adicionales de SSL/TLS

curl -x: Usar un proxy HTTP/HTTPS

Qué hace

El flag -x (o --proxy) enruta todo el tráfico de curl a través del servidor proxy especificado. El formato es [protocol://]host[:port]. Protocolos de proxy soportados: HTTP, HTTPS, SOCKS4, SOCKS5.

Cuándo usarlo

Úsalo para proxies corporativos, depuración con herramientas como Fiddler, Charles o mitmproxy, pruebas de restricciones geográficas o cuando no hay acceso directo a internet. También puedes establecer las variables de entorno http_proxy / https_proxy.

$ curl -x http://proxy.example.com:8080 https://api.example.com/data

curl --socks5: Usar un proxy SOCKS5

Qué hace

El flag --socks5 indica a curl que use un proxy SOCKS5 para la conexión TCP. A diferencia de los proxies HTTP, SOCKS5 opera a nivel TCP y puede manejar cualquier protocolo — no solo HTTP. La resolución DNS se realiza localmente por defecto; usa --socks5-hostname para resolver DNS a través del proxy.

Cuándo usarlo

Úsalo para túneles SSH (ssh -D), acceso a la red Tor o cuando el proxy necesita manejar protocolos no HTTP. SOCKS5 soporta UDP y puede opcionalmente manejar DNS — haciéndolo más flexible que los proxies HTTP.

$ curl --socks5 localhost:1080 https://api.example.com/data

curl --proxy-user: Autenticación de proxy

Qué hace

El flag --proxy-user (o -U) envía credenciales de autenticación al servidor proxy. El formato es user:password. Esto es independiente de la autenticación del servidor (-u).

Cuándo usarlo

Requerido cuando el servidor proxy exige autenticación — común en redes corporativas y empresariales. Las credenciales se envían al proxy, no al servidor de destino.

$ curl -x http://proxy.corp.com:3128 -U user:pass https://external-api.com/data

curl --noproxy: Omitir proxy para hosts específicos

Qué hace

El flag --noproxy especifica una lista separada por comas de hosts, dominios o direcciones IP que deben omitir el proxy y conectarse directamente. Soporta comodines: *.example.com coincide con todos los subdominios.

Cuándo usarlo

Úsalo para excluir localhost, servicios internos o dominios específicos del proxy. Esto es importante cuando un proxy está configurado globalmente mediante variables de entorno pero algunos hosts (como servicios locales) necesitan acceso directo. Usa * para omitir el proxy para todos los hosts.

$ curl -x http://proxy:8080 --noproxy "localhost,127.0.0.1,*.internal.com" https://localhost:3000/api

Opciones adicionales de proxy

curl --resolve: Resolución DNS personalizada

Qué hace

El flag --resolve proporciona una dirección IP personalizada para un par host:port específico, omitiendo completamente las búsquedas DNS. El formato es host:port:address. Se pueden especificar múltiples entradas --resolve.

Cuándo usarlo

Esencial para pruebas antes de la propagación DNS, verificación de un backend específico detrás de un balanceador de carga o desarrollo local donde necesitas un nombre de host real para la validación del certificado SSL. A diferencia de editar /etc/hosts, esto es por solicitud y específico del puerto.

$ curl --resolve api.example.com:443:127.0.0.1 https://api.example.com/health

curl --connect-to: Redirigir conexión a otro host

Qué hace

El flag --connect-to redirige la conexión TCP a un par host:port diferente manteniendo la URL original para la solicitud HTTP (incluyendo el encabezado Host y SNI). Formato: HOST1:PORT1:HOST2:PORT2.

Cuándo usarlo

Úsalo para probar un servidor backend específico detrás de un balanceador de carga sin cambiar DNS o /etc/hosts. A diferencia de --resolve, esto mapea host:port a host:port (no a una IP), lo cual es útil cuando el destino también tiene un nombre de host.

$ curl --connect-to api.example.com:443:backend1.internal:8443 https://api.example.com/health

Opciones adicionales de red

Escenarios reales de SSL y Proxy

Estos ejemplos combinan múltiples flags para manejar tareas comunes de seguridad y red en desarrollo, CI/CD y entornos de producción.

$ curl --resolve myapp.local:443:127.0.0.1 --cacert local-ca.pem https://myapp.local/api/status

$ curl --cert client.pem --key client-key.pem --cacert server-ca.pem https://mtls-api.example.com/data

$ curl -x http://proxy.corp.com:3128 -U user:pass --noproxy "*.internal.corp" https://external-api.com/data

$ curl --cacert /etc/ssl/certs/internal-ca.crt https://service.docker.internal:8443/health

$ curl --socks5 localhost:1080 https://internal-api.example.com/status

Preguntas frecuentes sobre curl SSL y Proxy