15
私はクライアントがcurlでhttps URLに電話をかける状況があります。 https URLのSSL証明書には自己署名が付けられているため、カールは証明書の検証を行うことができず、失敗します。 curlは証明書の検証を無効にする-k/- insecureオプションを提供します。私の質問は、--insecureオプションを使用すると、クライアントとサーバーの間で行われるデータ転送が(https URLの場合と同様に)行われることです。私は証明書の検証が行われていないためにセキュリティ上のリスクを理解していますが、この質問では私はデータ転送が暗号化されているかどうかについて懸念しています。curl insecureオプション
非常に悪い戦略。 [世界で最も危険なコード:ブラウザ以外のソフトウェアでのSSL証明書の検証](http://crypto.stanford.edu/~dabo/pubs/abstracts/ssl-client-bugs.html)を参照してください。 – jww
@jww使用している証明書(この場合は自己署名)を管理していない状況で、まだカールを使用してテストする必要がある場合は必ずしも悪くないとは限りません。 CAチェーン(エンタープライズ環境など)をインストールせずに自己署名証明書を使用することは悪い考えですが、大規模な組織では、コードを書く人やAPIを使用している人が制御できないことがよくあります。 – ntwrkguru