Посібник з налаштування SSL, TLS та Proxy в curl

Короткий довідник прапорців SSL та Proxy

curl -k: Ігнорувати помилки SSL-сертифікатів

Що робить

Прапорець -k (або --insecure) вимикає всю перевірку SSL/TLS сертифікатів. curl не перевірятиме, чи підписаний сертифікат сервера довіреним CA, чи збігається ім'я хоста, чи не закінчився термін дії сертифіката.

Коли використовувати

Використовуйте тільки для локальної розробки з самопідписаними сертифікатами або тестових середовищ. Для staging/production використовуйте натомість --cacert з реальним сертифікатом CA — це і безпечніше, і більш явно.

$ curl -k https://localhost:8443/api/health

curl --cacert: Використати власний CA-сертифікат

Що робить

Прапорець --cacert вказує curl перевіряти SSL-сертифікат сервера за конкретним файлом пакета CA (Центру сертифікації) у форматі PEM замість системного сховища довіри за замовчуванням.

Коли використовувати

Використовуйте, коли ваш сервер використовує сертифікат, підписаний приватним або внутрішнім CA, якого немає в системному сховищі довіри. Це типово для корпоративних середовищ, кластерів Kubernetes та Docker з внутрішньою PKI.

$ curl --cacert /path/to/corporate-ca.pem https://internal-api.example.com/data

curl --cert: Клієнтський сертифікат (взаємний TLS)

Що робить

Прапорець --cert надає клієнтський сертифікат для взаємного TLS (mTLS). У mTLS і сервер, і клієнт надають сертифікати для перевірки ідентичності один одного. Файл сертифіката повинен бути у форматі PEM або PKCS#12.

Коли використовувати

Потрібен, коли сервер вимагає автентифікацію клієнтським сертифікатом — типово для банківських API, державних сервісів, IoT-пристроїв та архітектур з нульовою довірою. Завжди поєднуйте з --key, якщо ключ не вбудований у файл сертифіката.

$ curl --cert client.pem --key client-key.pem https://mtls-api.example.com/secure

curl --key: Приватний ключ клієнтського сертифіката

Що робить

Прапорець --key вказує файл приватного ключа, що відповідає клієнтському сертифікату, наданому через --cert. Ключ повинен відповідати сертифікату. Якщо ключ захищений паролем, curl запитає пароль (або використовуйте --pass).

Коли використовувати

Завжди використовуйте разом з --cert. Якщо приватний ключ вже вбудований у файл сертифіката (типово для PKCS#12 / .p12 файлів), --key можна пропустити.

$ curl --cert client.pem --key client-key.pem --cacert server-ca.pem https://api.example.com/secure

curl --tlsv1.2: Примусово TLS 1.2 мінімум

Що робить

Прапорець --tlsv1.2 змушує curl використовувати TLS 1.2 як мінімально допустиму версію для SSL/TLS рукостискання. Старіші протоколи (TLS 1.0, 1.1, SSLv3) відхиляються.

Коли використовувати

Використовуйте для забезпечення мінімального стандарту безпеки. TLS 1.2 необхідний для відповідності PCI-DSS і підтримується всіма сучасними серверами. Більшість сучасних збірок curl вже за замовчуванням використовують TLS 1.2+, але цей прапорець робить це явним.

$ curl --tlsv1.2 -v https://secure.example.com/api 2>&1 | grep 'SSL connection'

curl --tlsv1.3: Примусово TLS 1.3 мінімум

Що робить

Прапорець --tlsv1.3 змушує curl використовувати TLS 1.3 — найшвидшу та найбезпечнішу версію TLS. TLS 1.3 усуває додатковий обмін даними під час рукостискання (підтримка 0-RTT) та видаляє всі застарілі набори шифрів.

Коли використовувати

Використовуйте, коли знаєте, що сервер підтримує TLS 1.3 і вам потрібна найкраща продуктивність та безпека. Примітка: TLS 1.3 вимагає OpenSSL 1.1.1+ або сумісну TLS-бібліотеку. Ще не всі сервери його підтримують.

$ curl --tlsv1.3 https://modern-api.example.com/data

Додаткові опції SSL/TLS

curl -x: Використати HTTP/HTTPS Proxy

Що робить

Прапорець -x (або --proxy) спрямовує весь трафік curl через вказаний проксі-сервер. Формат: [protocol://]host[:port]. Підтримувані протоколи проксі: HTTP, HTTPS, SOCKS4, SOCKS5.

Коли використовувати

Використовуйте для корпоративних проксі-серверів, налагодження за допомогою інструментів як Fiddler, Charles або mitmproxy, тестування географічних обмежень або коли прямий доступ до інтернету недоступний. Також можна встановити змінні середовища http_proxy / https_proxy.

$ curl -x http://proxy.example.com:8080 https://api.example.com/data

curl --socks5: Використати SOCKS5 Proxy

Що робить

Прапорець --socks5 вказує curl використовувати SOCKS5 проксі для TCP-з'єднання. На відміну від HTTP проксі, SOCKS5 працює на рівні TCP і може обробляти будь-який протокол — не лише HTTP. DNS-розрішення за замовчуванням виконується локально; використовуйте --socks5-hostname для розрішення DNS через проксі.

Коли використовувати

Використовуйте для SSH-тунелів (ssh -D), доступу до мережі Tor або коли проксі повинен обробляти не-HTTP протоколи. SOCKS5 підтримує UDP і може опціонально обробляти DNS — що робить його гнучкішим за HTTP проксі.

$ curl --socks5 localhost:1080 https://api.example.com/data

curl --proxy-user: Автентифікація на проксі

Що робить

Прапорець --proxy-user (або -U) надсилає облікові дані автентифікації на проксі-сервер. Формат: user:password. Це окремо від автентифікації на сервері (-u).

Коли використовувати

Потрібен, коли проксі-сервер вимагає автентифікацію — типово для корпоративних та enterprise мережевих середовищ. Облікові дані надсилаються на проксі, а не на цільовий сервер.

$ curl -x http://proxy.corp.com:3128 -U user:pass https://external-api.com/data

curl --noproxy: Обійти проксі для конкретних хостів

Що робить

Прапорець --noproxy вказує розділений комами список хостів, доменів або IP-адрес, які повинні обходити проксі та з'єднуватися напряму. Підтримує підстановочні знаки: *.example.com відповідає всім піддоменам.

Коли використовувати

Використовуйте для виключення localhost, внутрішніх сервісів або конкретних доменів з проксі. Це важливо, коли проксі встановлено глобально через змінні середовища, але деякі хости (як локальні сервіси) потребують прямого доступу. Використовуйте *, щоб обійти проксі для всіх хостів.

$ curl -x http://proxy:8080 --noproxy "localhost,127.0.0.1,*.internal.com" https://localhost:3000/api

Додаткові опції Proxy

curl --resolve: Користувацьке DNS-розрішення

Що робить

Прапорець --resolve надає користувацьку IP-адресу для конкретної пари host:port, повністю обходячи DNS-пошук. Формат: host:port:address. Можна вказати декілька записів --resolve.

Коли використовувати

Необхідний для тестування до розповсюдження DNS, перевірки конкретного бекенду за балансувальником навантаження або локальної розробки, де потрібне реальне ім'я хоста для валідації SSL-сертифіката. На відміну від редагування /etc/hosts, це діє на рівні запиту та порту.

$ curl --resolve api.example.com:443:127.0.0.1 https://api.example.com/health

curl --connect-to: Перенаправити з'єднання на інший хост

Що робить

Прапорець --connect-to перенаправляє TCP-з'єднання на іншу пару host:port, зберігаючи оригінальний URL для HTTP-запиту (включаючи заголовок Host та SNI). Формат: HOST1:PORT1:HOST2:PORT2.

Коли використовувати

Використовуйте для тестування конкретного бекенд-сервера за балансувальником навантаження без зміни DNS або /etc/hosts. На відміну від --resolve, це зіставляє host:port з host:port (не з IP), що корисно, коли ціль також має ім'я хоста.

$ curl --connect-to api.example.com:443:backend1.internal:8443 https://api.example.com/health

Додаткові мережеві опції

Реальні сценарії SSL та Proxy

Ці приклади поєднують декілька прапорців для вирішення типових завдань безпеки та мережі в середовищах розробки, CI/CD та production.

$ curl --resolve myapp.local:443:127.0.0.1 --cacert local-ca.pem https://myapp.local/api/status

$ curl --cert client.pem --key client-key.pem --cacert server-ca.pem https://mtls-api.example.com/data

$ curl -x http://proxy.corp.com:3128 -U user:pass --noproxy "*.internal.corp" https://external-api.com/data

$ curl --cacert /etc/ssl/certs/internal-ca.crt https://service.docker.internal:8443/health

$ curl --socks5 localhost:1080 https://internal-api.example.com/status

Часті запитання про SSL та Proxy в curl