From: Sergey Matveev <stargrave@stargrave.org>
Date: Sat, 9 Mar 2024 10:36:09 +0000 (+0300)
Subject: cURL в macOS
X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=dbaf7851890a1c5a5794a60512a44146ab208564;p=stargrave-blog.git

cURL в macOS

https://daniel.haxx.se/blog/2024/03/08/the-apple-curl-security-incident-12604/
Думаете что указав --cacert опцию в curl вы форсируете использование
чётко заданного списка CA сертификатов для проверки? Так документировано
в самом cURL, так всегда было. Apple же считает иначе и штатный curl в
системе на самом деле всё равно делает проверку напротив встроенных в ОС
сертификатов! И, конечно же, это недокументированное поведение.

Вы не управляете ОС, поэтому не управляете якорями доверия (за вас США
решает чему можно доверять), и вы не можете в банальном curl форсировать
проверку напротив своих якорей. Я реально просто охереваю от людей
которые считают эту ОС вообще чем-то допустимым для использования.
Только и только если на задаваться вопросами безопасности.
---