15
Tengo una situación en la que el cliente realiza una llamada a través de curl a una URL https. El certificado SSL de la URL https está autofirmado y, por lo tanto, curl no puede validar el certificado y falla. curl proporciona una opción -k/- insegura que deshabilita la validación del certificado. Mi pregunta es que al usar --insecure option es la transferencia de datos que se realiza entre el cliente y el servidor cifrado (como debería ser para https urls)? Entiendo el riesgo de seguridad debido a que la validación del certificado no se ha realizado, pero para esta pregunta solo me preocupa si la transferencia de datos está encriptada o no.curl insegura opción
Muy mala estrategia; ver [El código más peligroso del mundo: validación de certificados SSL en software que no es de navegador] (http://crypto.stanford.edu/~dabo/pubs/abstracts/ssl-client-bugs.html). – jww
@ jww, no necesariamente es malo si se encuentra en una situación en la que no controla los certs utilizados (autofirmado en este caso), y aún así tiene la necesidad de probar usando curl. Estoy de acuerdo en usar certificados autofirmados sin instalar la cadena de CA (como en un entorno empresarial) es una mala idea, pero en organizaciones grandes, a menudo está fuera del control de la persona que está escribiendo algún código o usando una API. – ntwrkguru