Guida alla configurazione curl SSL, TLS e Proxy

Riferimento rapido flag SSL e Proxy

curl -k: Ignora gli errori del certificato SSL

Cosa fa

Il flag -k (o --insecure) disabilita tutta la verifica dei certificati SSL/TLS. curl non controllerà se il certificato del server è firmato da una CA affidabile, se il nome host corrisponde o se il certificato è scaduto.

Quando usarlo

Usa solo per lo sviluppo locale con certificati autofirmati o ambienti di test. Per staging/production, usa --cacert con il certificato CA effettivo — è più sicuro e più esplicito.

$ curl -k https://localhost:8443/api/health

curl --cacert: Usa un certificato CA personalizzato

Cosa fa

Il flag --cacert indica a curl di verificare il certificato SSL del server contro un file bundle CA (Certificate Authority) specifico in formato PEM, invece del trust store predefinito del sistema.

Quando usarlo

Usa quando il tuo server utilizza un certificato firmato da una CA privata o interna che non è nel trust store di sistema. Questo è comune in ambienti aziendali, cluster Kubernetes e configurazioni Docker con PKI interna.

$ curl --cacert /path/to/corporate-ca.pem https://internal-api.example.com/data

curl --cert: Certificato client (Mutual TLS)

Cosa fa

Il flag --cert fornisce un certificato lato client per il mutual TLS (mTLS). Nel mTLS, sia il server che il client presentano certificati per verificare l'identità reciproca. Il file certificato deve essere in formato PEM o PKCS#12.

Quando usarlo

Necessario quando il server richiede l'autenticazione con certificato client — comune nelle API bancarie, servizi governativi, comunicazione dispositivi IoT e architetture zero-trust. Accoppia sempre con --key a meno che la chiave non sia incorporata nel file certificato.

$ curl --cert client.pem --key client-key.pem https://mtls-api.example.com/secure

curl --key: Chiave privata del certificato client

Cosa fa

Il flag --key specifica il file della chiave privata che si accoppia con il certificato client fornito da --cert. La chiave deve corrispondere al certificato. Se la chiave è protetta da password, curl richiederà la passphrase (o usa --pass).

Quando usarlo

Usa sempre insieme a --cert. Se la chiave privata è già incorporata nel file certificato (comune con file PKCS#12 / .p12), puoi omettere --key.

$ curl --cert client.pem --key client-key.pem --cacert server-ca.pem https://api.example.com/secure

curl --tlsv1.2: Forza TLS 1.2 minimo

Cosa fa

Il flag --tlsv1.2 forza curl a usare TLS 1.2 come versione minima accettabile per l'handshake SSL/TLS. I protocolli più vecchi (TLS 1.0, 1.1, SSLv3) vengono rifiutati.

Quando usarlo

Usa per applicare uno standard di sicurezza minimo. TLS 1.2 è richiesto per la conformità PCI-DSS ed è supportato da tutti i server moderni. La maggior parte delle build moderne di curl usa già TLS 1.2+ per default, ma questo flag lo rende esplicito.

$ curl --tlsv1.2 -v https://secure.example.com/api 2>&1 | grep 'SSL connection'

curl --tlsv1.3: Forza TLS 1.3 minimo

Cosa fa

Il flag --tlsv1.3 forza curl a usare TLS 1.3 — la versione TLS più veloce e sicura. TLS 1.3 elimina il round-trip extra nell'handshake (supporto 0-RTT) e rimuove tutte le suite di cifratura obsolete.

Quando usarlo

Usa quando sai che il server supporta TLS 1.3 e vuoi le migliori prestazioni e sicurezza. Nota: TLS 1.3 richiede OpenSSL 1.1.1+ o una libreria TLS compatibile. Non tutti i server lo supportano ancora.

$ curl --tlsv1.3 https://modern-api.example.com/data

Opzioni SSL/TLS aggiuntive

curl -x: Usa un proxy HTTP/HTTPS

Cosa fa

Il flag -x (o --proxy) instrada tutto il traffico curl attraverso il server proxy specificato. Il formato è [protocol://]host[:port]. Protocolli proxy supportati: HTTP, HTTPS, SOCKS4, SOCKS5.

Quando usarlo

Usa per server proxy aziendali, debug con strumenti come Fiddler, Charles o mitmproxy, test di restrizioni geografiche, o quando l'accesso diretto a Internet non è disponibile. Puoi anche impostare le variabili d'ambiente http_proxy / https_proxy in alternativa.

$ curl -x http://proxy.example.com:8080 https://api.example.com/data

curl --socks5: Usa un proxy SOCKS5

Cosa fa

Il flag --socks5 indica a curl di usare un proxy SOCKS5 per la connessione TCP. A differenza dei proxy HTTP, SOCKS5 opera a livello TCP e può gestire qualsiasi protocollo — non solo HTTP. La risoluzione DNS è locale per default; usa --socks5-hostname per risolvere il DNS attraverso il proxy.

Quando usarlo

Usa per tunnel SSH (ssh -D), accesso alla rete Tor, o quando il proxy deve gestire protocolli non-HTTP. SOCKS5 supporta UDP e può opzionalmente gestire il DNS — rendendolo più flessibile dei proxy HTTP.

$ curl --socks5 localhost:1080 https://api.example.com/data

curl --proxy-user: Autenticazione proxy

Cosa fa

Il flag --proxy-user (o -U) invia le credenziali di autenticazione al server proxy. Il formato è user:password. Questo è separato dall'autenticazione del server (-u).

Quando usarlo

Necessario quando il server proxy richiede autenticazione — comune in ambienti di rete aziendali e enterprise. Le credenziali vengono inviate al proxy, non al server di destinazione.

$ curl -x http://proxy.corp.com:3128 -U user:pass https://external-api.com/data

curl --noproxy: Bypassa il proxy per host specifici

Cosa fa

Il flag --noproxy specifica un elenco separato da virgole di host, domini o indirizzi IP che dovrebbero bypassare il proxy e connettersi direttamente. Supporta i caratteri jolly: *.example.com corrisponde a tutti i sottodomini.

Quando usarlo

Usa per escludere localhost, servizi interni o domini specifici dal proxying. Questo è importante quando un proxy è impostato globalmente tramite variabili d'ambiente ma alcuni host (come i servizi locali) necessitano di accesso diretto. Usa * per bypassare il proxy per tutti gli host.

$ curl -x http://proxy:8080 --noproxy "localhost,127.0.0.1,*.internal.com" https://localhost:3000/api

Opzioni proxy aggiuntive

curl --resolve: Risoluzione DNS personalizzata

Cosa fa

Il flag --resolve fornisce un indirizzo IP personalizzato per una specifica coppia host:port, bypassando completamente la ricerca DNS. Il formato è host:port:address. Si possono fornire più voci --resolve.

Quando usarlo

Essenziale per i test prima della propagazione DNS, la verifica di un backend specifico dietro un load balancer, o lo sviluppo locale dove serve un hostname reale per la validazione del certificato SSL. A differenza della modifica di /etc/hosts, questo è per-request e specifico per la porta.

$ curl --resolve api.example.com:443:127.0.0.1 https://api.example.com/health

curl --connect-to: Reindirizza la connessione a un host diverso

Cosa fa

Il flag --connect-to reindirizza la connessione TCP a una diversa coppia host:port mantenendo l'URL originale per la richiesta HTTP (incluso l'header Host e l'SNI). Formato: HOST1:PORT1:HOST2:PORT2.

Quando usarlo

Usa per testare un server backend specifico dietro un load balancer senza modificare il DNS o /etc/hosts. A differenza di --resolve, questo mappa host:port a host:port (non a un IP), utile quando anche il target ha un hostname.

$ curl --connect-to api.example.com:443:backend1.internal:8443 https://api.example.com/health

Opzioni di rete aggiuntive

Scenari SSL e Proxy reali

Questi esempi combinano più flag per gestire le attività comuni di sicurezza e rete negli ambienti di sviluppo, CI/CD e production.

$ curl --resolve myapp.local:443:127.0.0.1 --cacert local-ca.pem https://myapp.local/api/status

$ curl --cert client.pem --key client-key.pem --cacert server-ca.pem https://mtls-api.example.com/data

$ curl -x http://proxy.corp.com:3128 -U user:pass --noproxy "*.internal.corp" https://external-api.com/data

$ curl --cacert /etc/ssl/certs/internal-ca.crt https://service.docker.internal:8443/health

$ curl --socks5 localhost:1080 https://internal-api.example.com/status

Domande frequenti su curl SSL e Proxy