curl2code

Ghid de configurare SSL, TLS și Proxy pentru curl

Configurarea certificatelor HTTPS, versiunilor TLS, proxy-urilor și rezoluției DNS personalizate în curl este esențială pentru comunicarea securizată cu API-uri, pipeline-uri CI/CD și depanarea problemelor de rețea. Acest ghid acoperă toate opțiunile SSL, TLS, proxy și rețea — de la dezactivarea verificărilor de certificat cu -k pentru dezvoltare locală până la configurarea TLS mutual cu --cert și rutarea traficului prin proxy-uri SOCKS5. Fiecare opțiune include o explicație clară, considerații de securitate și un exemplu gata de copiat.

Referință rapidă opțiuni SSL și Proxy

-kSSL/TLS

Permite conexiuni nesecurizate — omite toată verificarea SSL

--cacertSSL/TLS

Verifică certificatul serverului față de un bundle CA specific

--certSSL/TLS

Furnizează un certificat de client pentru autentificarea TLS mutuală

--keySSL/TLS

Furnizează fișierul cheii private pentru certificatul de client

--tlsv1.2SSL/TLS

Folosește TLS versiunea 1.2 sau superioară pentru conexiune

--tlsv1.3SSL/TLS

Folosește TLS versiunea 1.3 sau superioară pentru conexiune

--ssl-reqdSSL/TLS

Necesită SSL/TLS pentru conexiune (eșuează dacă nu este disponibil)

--ciphersSSL/TLS

Specifică ce cifruri SSL să folosească pentru conexiune

--cert-typeSSL/TLS

Specifică tipul certificatului de client (PEM, DER, ENG, P12)

--pinnedpubkeySSL/TLS

Fixează și verifică cheia publică a serverului (stil HPKP)

-xProxy

Rutează tot traficul prin serverul proxy specificat

--socks5Proxy

Rutează conexiunea printr-un proxy SOCKS5

--proxy-userProxy

Furnizează utilizator:parolă pentru serverul proxy

--noproxyProxy

Lista gazdelor care nu ar trebui să treacă prin proxy

--socks5-hostnameProxy

Proxy SOCKS5 cu rezoluție DNS prin proxy

--proxy-cacertProxy

Certificat CA pentru verificarea proxy-ului HTTPS în sine

--resolveRețea

Mapează o pereche host:port specifică la o adresă IP personalizată

--connect-toRețea

Conectare la un host:port diferit față de cel specificat în URL

--local-portRețea

Setează numărul sau intervalul portului local pentru conexiune

--interfaceRețea

Leagă conexiunea de o interfață de rețea specifică

--dns-serversRețea

Folosește servere DNS personalizate în loc de cele implicite ale sistemului (c-ares)

curl -k: Ignorarea erorilor de certificat SSL

Ce face
Opțiunea -k (sau --insecure) dezactivează toată verificarea certificatelor SSL/TLS. curl nu va verifica dacă certificatul serverului este semnat de o CA de încredere, dacă hostname-ul corespunde sau dacă certificatul a expirat.
Când să folosești
Folosește doar pentru dezvoltare locală cu certificate auto-semnate sau medii de testare. Pentru staging/producție, folosește --cacert cu certificatul CA real — este și mai sigur și mai explicit.
$ curl -k https://localhost:8443/api/health

Nu folosi niciodată -k în scripturi de producție sau pipeline-uri CI/CD. Dezactivează toată validarea certificatelor, făcând conexiunea vulnerabilă la atacuri man-in-the-middle. Folosește --cacert pentru a avea încredere într-o CA specifică.

curl --cacert: Folosirea unui certificat CA personalizat

Ce face
Opțiunea --cacert indică lui curl să verifice certificatul SSL al serverului față de un fișier bundle CA (Certificate Authority) specific în format PEM, în loc de depozitul de încredere implicit al sistemului.
Când să folosești
Folosește când serverul tău utilizează un certificat semnat de o CA privată sau internă care nu se află în depozitul de încredere al sistemului. Acest lucru este comun în medii corporative, clustere Kubernetes și configurări Docker cu PKI intern.
$ curl --cacert /path/to/corporate-ca.pem https://internal-api.example.com/data

curl --cert: Certificat de client (TLS Mutual)

Ce face
Opțiunea --cert furnizează un certificat pe partea clientului pentru TLS mutual (mTLS). În mTLS, atât serverul cât și clientul prezintă certificate pentru a verifica identitatea celuilalt. Fișierul de certificat trebuie să fie în format PEM sau PKCS#12.
Când să folosești
Necesar când serverul solicită autentificare prin certificat de client — comun în API-uri bancare, servicii guvernamentale, comunicarea dispozitivelor IoT și arhitecturi zero-trust. Combină întotdeauna cu --key cu excepția cazului în care cheia este încorporată în fișierul certificatului.
$ curl --cert client.pem --key client-key.pem https://mtls-api.example.com/secure

curl --key: Cheia privată a certificatului de client

Ce face
Opțiunea --key specifică fișierul cheii private care se potrivește cu certificatul de client furnizat prin --cert. Cheia trebuie să corespundă certificatului. Dacă cheia este protejată cu parolă, curl va solicita fraza de acces (sau folosește --pass).
Când să folosești
Folosește întotdeauna împreună cu --cert. Dacă cheia privată este deja încorporată în fișierul certificatului (comun cu PKCS#12 / fișiere .p12), poți omite --key.
$ curl --cert client.pem --key client-key.pem --cacert server-ca.pem https://api.example.com/secure

curl --tlsv1.2: Forțare TLS 1.2 minim

Ce face
Opțiunea --tlsv1.2 forțează curl să folosească TLS 1.2 ca versiune minimă acceptabilă pentru handshake-ul SSL/TLS. Protocoalele mai vechi (TLS 1.0, 1.1, SSLv3) sunt respinse.
Când să folosești
Folosește pentru a impune un standard minim de securitate. TLS 1.2 este necesar pentru conformitatea PCI-DSS și este suportat de toate serverele moderne. Majoritatea build-urilor moderne de curl folosesc deja TLS 1.2+ implicit, dar această opțiune o face explicită.
$ curl --tlsv1.2 -v https://secure.example.com/api 2>&1 | grep 'SSL connection'

curl --tlsv1.3: Forțare TLS 1.3 minim

Ce face
Opțiunea --tlsv1.3 forțează curl să folosească TLS 1.3 — cea mai rapidă și mai securizată versiune TLS. TLS 1.3 elimină round-trip-ul suplimentar în handshake (suport 0-RTT) și elimină toate suitele de cifruri învechite.
Când să folosești
Folosește când știi că serverul suportă TLS 1.3 și dorești cele mai bune performanțe și securitate. Notă: TLS 1.3 necesită OpenSSL 1.1.1+ sau o bibliotecă TLS compatibilă. Nu toate serverele îl suportă încă.
$ curl --tlsv1.3 https://modern-api.example.com/data

Opțiuni SSL/TLS suplimentare

--ssl-reqd

Necesită SSL/TLS pentru conexiune (eșuează dacă nu este disponibil)

--ciphers

Specifică ce cifruri SSL să folosească pentru conexiune

--cert-type

Specifică tipul certificatului de client (PEM, DER, ENG, P12)

--pinnedpubkey

Fixează și verifică cheia publică a serverului (stil HPKP)

curl -x: Folosirea unui proxy HTTP/HTTPS

Ce face
Opțiunea -x (sau --proxy) rutează tot traficul curl prin serverul proxy specificat. Formatul este [protocol://]host[:port]. Protocoale proxy suportate: HTTP, HTTPS, SOCKS4, SOCKS5.
Când să folosești
Folosește pentru servere proxy corporative, depanare cu instrumente precum Fiddler, Charles sau mitmproxy, testarea restricțiilor geografice sau când accesul direct la internet nu este disponibil. Poți seta și variabilele de mediu http_proxy / https_proxy.
$ curl -x http://proxy.example.com:8080 https://api.example.com/data

curl --socks5: Folosirea unui proxy SOCKS5

Ce face
Opțiunea --socks5 indică lui curl să folosească un proxy SOCKS5 pentru conexiunea TCP. Spre deosebire de proxy-urile HTTP, SOCKS5 operează la nivel TCP și poate gestiona orice protocol — nu doar HTTP. Rezoluția DNS se face local implicit; folosește --socks5-hostname pentru a rezolva DNS prin proxy.
Când să folosești
Folosește pentru tuneluri SSH (ssh -D), acces la rețeaua Tor sau când proxy-ul trebuie să gestioneze protocoale non-HTTP. SOCKS5 suportă UDP și poate opțional gestiona DNS — făcându-l mai flexibil decât proxy-urile HTTP.
$ curl --socks5 localhost:1080 https://api.example.com/data

curl --proxy-user: Autentificare la proxy

Ce face
Opțiunea --proxy-user (sau -U) trimite credențiale de autentificare către serverul proxy. Formatul este user:password. Aceasta este separată de autentificarea la server (-u).
Când să folosești
Necesar când serverul proxy solicită autentificare — comun în medii de rețea corporative și enterprise. Credențialele sunt trimise către proxy, nu către serverul de destinație.
$ curl -x http://proxy.corp.com:3128 -U user:pass https://external-api.com/data

curl --noproxy: Ocolirea proxy-ului pentru gazde specifice

Ce face
Opțiunea --noproxy specifică o listă separată prin virgulă de gazde, domenii sau adrese IP care ar trebui să ocolească proxy-ul și să se conecteze direct. Suportă wildcards: *.example.com se potrivește cu toate subdomeniile.
Când să folosești
Folosește pentru a exclude localhost, servicii interne sau domenii specifice de la proxy. Acest lucru este important când un proxy este setat global prin variabile de mediu dar unele gazde (precum servicii locale) au nevoie de acces direct. Folosește * pentru a ocoli proxy-ul pentru toate gazdele.
$ curl -x http://proxy:8080 --noproxy "localhost,127.0.0.1,*.internal.com" https://localhost:3000/api

Opțiuni Proxy suplimentare

--socks5-hostname

Proxy SOCKS5 cu rezoluție DNS prin proxy

--proxy-cacert

Certificat CA pentru verificarea proxy-ului HTTPS în sine

curl --resolve: Rezoluție DNS personalizată

Ce face
Opțiunea --resolve furnizează o adresă IP personalizată pentru o pereche host:port specifică, ocolind complet căutarea DNS. Formatul este host:port:address. Se pot furniza mai multe intrări --resolve.
Când să folosești
Esențial pentru testare înainte de propagarea DNS, verificarea unui backend specific din spatele unui load balancer sau dezvoltare locală unde ai nevoie de un hostname real pentru validarea certificatelor SSL. Spre deosebire de editarea /etc/hosts, aceasta este per-cerere și specifică portului.
$ curl --resolve api.example.com:443:127.0.0.1 https://api.example.com/health

curl --connect-to: Redirecționarea conexiunii către o altă gazdă

Ce face
Opțiunea --connect-to redirecționează conexiunea TCP către o pereche host:port diferită, păstrând URL-ul original pentru cererea HTTP (inclusiv antetul Host și SNI). Format: HOST1:PORT1:HOST2:PORT2.
Când să folosești
Folosește pentru a testa un server backend specific din spatele unui load balancer fără a modifica DNS sau /etc/hosts. Spre deosebire de --resolve, aceasta mapează host:port la host:port (nu la un IP), ceea ce este util când destinația are și ea un hostname.
$ curl --connect-to api.example.com:443:backend1.internal:8443 https://api.example.com/health

Opțiuni de rețea suplimentare

--local-port

Setează numărul sau intervalul portului local pentru conexiune

--interface

Leagă conexiunea de o interfață de rețea specifică

--dns-servers

Folosește servere DNS personalizate în loc de cele implicite ale sistemului (c-ares)

Scenarii reale SSL și Proxy

Aceste exemple combină mai multe opțiuni pentru a gestiona sarcini comune de securitate și rețea în medii de dezvoltare, CI/CD și producție.

Testarea HTTPS pe Localhost

Când dezvolți local cu un certificat auto-semnat, combină --resolve cu --cacert (sau -k pentru testare rapidă). Aceasta îți permite să folosești un hostname real pentru SSL/SNI corespunzător fără a modifica fișierul hosts.

$ curl --resolve myapp.local:443:127.0.0.1 --cacert local-ca.pem https://myapp.local/api/status

TLS Mutual (Autentificare prin certificat de client)

Unele API-uri necesită ca atât serverul cât și clientul să prezinte certificate. Furnizează --cert, --key și --cacert pentru a stabili o conexiune TLS bidirecțională complet verificată.

$ curl --cert client.pem --key client-key.pem --cacert server-ca.pem https://mtls-api.example.com/data

Proxy corporativ cu autentificare

În rețelele corporative cu servere proxy obligatorii, combină -x cu -U pentru credențialele proxy-ului. Adaugă --noproxy pentru a exclude serviciile interne de la proxy.

$ curl -x http://proxy.corp.com:3128 -U user:pass --noproxy "*.internal.corp" https://external-api.com/data

Container Docker cu CA intern

Când serviciile din Docker folosesc certificate de la o CA internă, montează certificatul CA în container și referă-l cu --cacert. Aceasta este mai sigură decât -k deoarece încă validează lanțul de certificate.

$ curl --cacert /etc/ssl/certs/internal-ca.crt https://service.docker.internal:8443/health

Proxy SOCKS5 prin tunel SSH

Creează un proxy SOCKS5 cu ssh -D și rutează traficul curl prin el folosind --socks5. Aceasta este utilă pentru accesarea serviciilor interne printr-un bastion host.

$ curl --socks5 localhost:1080 https://internal-api.example.com/status

Întrebări frecvente despre SSL și Proxy în curl

Cum omit verificarea certificatului SSL în curl?

Folosește curl -k URL sau curl --insecure URL. Aceasta dezactivează toate verificările de certificate — expirare, nepotrivire hostname, CA neîncrezut. Folosește doar pentru dezvoltare locală. Pentru producție, folosește --cacert cu certificatul CA real.

Cum fac curl să aibă încredere într-un certificat auto-semnat?

Folosește curl --cacert /path/to/ca.pem URL pentru a specifica certificatul CA care a semnat certificatul tău auto-semnat. Aceasta este mai sigură decât -k deoarece încă validează lanțul de certificate — având încredere doar în CA ta specifică.

Cum verific ce versiune TLS folosește curl?

Execută curl -v URL și caută linia * SSL connection using TLSv1.x / CipherSuite în ieșirea detaliată. Pentru a forța o versiune specifică, folosește --tlsv1.2 sau --tlsv1.3.

Ce este TLS mutual (mTLS) și cum îl folosesc cu curl?

TLS mutual necesită ca atât serverul cât și clientul să prezinte certificate. Folosește: curl --cert client.pem --key client-key.pem --cacert server-ca.pem URL. Perechea --cert/--key autentifică clientul; --cacert verifică serverul.

Cum folosesc curl printr-un proxy HTTP?

Folosește curl -x http://proxy:port URL. Pentru un proxy HTTPS: curl -x https://proxy:port URL. Alternativ, setează variabilele de mediu http_proxy și https_proxy — curl le detectează automat.

Cum folosesc curl cu un proxy SOCKS5?

Folosește curl --socks5 host:port URL pentru rezoluție DNS locală, sau curl --socks5-hostname host:port URL pentru a rezolva DNS prin proxy (important pentru confidențialitate/Tor). Exemplu cu tunel SSH: ssh -D 1080 user@bastion, apoi curl --socks5 localhost:1080 URL.

Cum mă autentific la un server proxy în curl?

Folosește curl -x http://proxy:port -U user:password URL. Opțiunea -U (sau --proxy-user) trimite credențiale către proxy. Aceasta este separată de -u, care autentifică la serverul de destinație.

Cum exclud anumite gazde de la proxy în curl?

Folosește --noproxy "localhost,127.0.0.1,*.internal.com" sau setează variabila de mediu NO_PROXY. Suportă wildcards (*.example.com). Folosește --noproxy "*" pentru a ocoli proxy-ul complet pentru o singură cerere.

Cum testez HTTPS pe localhost cu curl?

Pentru testare rapidă: curl -k https://localhost:8443/. Pentru validare corespunzătoare: curl --resolve myapp.local:443:127.0.0.1 --cacert local-ca.pem https://myapp.local/. Abordarea --resolve permite hostname-ului certificatului să se potrivească corect.

Cum suprascriu rezoluția DNS pentru o gazdă specifică în curl?

Folosește curl --resolve host:port:IP URL. Exemplu: curl --resolve api.example.com:443:192.168.1.100 https://api.example.com/. Aceasta ocolește DNS doar pentru acea pereche host:port — fără a edita /etc/hosts.

Cum repar 'SSL certificate problem: certificate has expired' în curl?

Certificatul serverului a expirat. Soluții: (1) Reînnoiește certificatul pe server, (2) Actualizează bundle-ul CA: curl --cacert /path/to/updated-ca.pem URL, (3) Doar pentru testare: curl -k URL. Verifică expirarea: curl -v URL 2>&1 | grep expire.

Este sigur să folosesc curl --insecure (-k) în producție?

Nu. Opțiunea -k dezactivează toată validarea certificatelor — expirare, hostname și lanțul de încredere. Aceasta face conexiunea vulnerabilă la atacuri man-in-the-middle. Folosește întotdeauna --cacert cu certificatul CA specific în producție și pipeline-uri CI/CD.