以下のような、コマンドラインのウェブサイトのダウンローダを使用してwget
、curl
スクリプトで...または任意の他の1 ...
WebサイトのSHA-1およびSHA-256証明書を持っています。セキュリティ上の懸念のため(1)(2)、パブリックSSL認証局システムを使用したくありません。指紋はハードコーディングする必要があります。
アプリケーションのようなwgetはSSLフィンガープリントをチェックできますか?
wgetにはそのような機能はありません。(3)
を使用するwget --ca-certificate
かcurl --cacert
、独自のローカル認証局を実行する必要がありますが、これは防止したいと思います。これは非常に複雑になるためです。また、それは非常に難しく、誰もそれをやったことがありません。(4)
のようなツールはありません
download --tlsv1 --serial-number xx:yy:zz --fingerprint xxyyzz https://site.com
か?
もちろん、ソリューションはTOCTOUに対して脆弱であってはなりません。(5)MITMは、opensslクライアントリクエストの有効なフィンガープリントを返し、次のwgetリクエストを改ざんする可能性があります。