Utilisation d'un téléchargeur de site Web en ligne de commande, tel que wget
,curl
ou tout autre ... Dans un script ...
J'ai les empreintes digitales certifiantes d'un site web SHA-1 et SHA-256. Pour des raisons de sécurité ( 1 ) ( 2 ), je ne souhaite pas utiliser le système public d'autorité de certification SSL. L'empreinte doit être codée en dur.
Une application comme wget peut-elle vérifier l’empreinte SSL?
wget n'a pas une telle fonctionnalité. ( 3 )
Utiliser wget --ca-certificate
ou curl --cacert
je devrais utiliser ma propre autorité de certification locale, ce que j'aimerais éviter, car cela ajoute beaucoup de complexité. C'est aussi très difficile et personne ne l'a jamais fait auparavant. ( 4 )
N'y a-t-il aucun outil, comme
download --tlsv1 --serial-number xx:yy:zz --fingerprint xxyyzz https://site.com
?
La solution ne doit bien sûr pas être vulnérable à TOCTOU. ( 5 ) Le MITM pourrait laisser renvoyer une empreinte valide pour la demande du client openssl et altérer la demande wget suivante.