Использование загрузчика веб-сайта из командной строки, например wget
, curl
или любого другого ... В сценарии ...
У меня есть отпечаток пальца SHA-1 и SHA-256 на веб-сайте. Из-за проблем безопасности ( 1 ) ( 2 ) я не хочу использовать общедоступную систему центра сертификации SSL. Отпечаток пальца должен быть жестко закодирован.
Может ли приложение, похожее на wget, проверять отпечаток SSL?
У wget такой функциональности нет. ( 3 )
Используя wget --ca-certificate
или curl --cacert
я должен был бы запустить свой собственный локальный центр сертификации, что я хотел бы предотвратить, потому что это добавляет много сложности. Это также очень сложно, и никто никогда не делал этого раньше. ( 4 )
Разве нет такого инструмента, как
download --tlsv1 --serial-number xx:yy:zz --fingerprint xxyyzz https://site.com
?
Решение, конечно, не должно быть уязвимым для TOCTOU. ( 5 ) MITM может позволить вернуть действительный отпечаток для запроса клиента openssl и подделать следующий запрос wget.