Określanie mniejszej wersji TLS podczas korzystania z curl

20

Czy istnieje sposób na określenie curl, aby użyć określonej wersji TLS? Jak 1.1 lub 1.2? W pomocy polecenia widzę tylko opcje sslv3 i tlsv1. Wziąłem najnowszy src i skompilowałem go z openssl 1.0.1e. Nadal nie widzę bezpośredniej opcji w pomocy. Czy jest jakiś inny sposób, aby to ustawić?

vpram86
źródło
2
Nie widzę też opcji ustawiania mniejszej wersji TLS. Zobacz także ten wątek : „To dlatego, że gdy libcurl jest skonfigurowany do korzystania z TLSv1, automatycznie użyje najwyższego numeru wersji obsługiwanego przez bibliotekę TLS i obniży do wersji TLS 1.0, jeśli serwer nie obsługuje 1.1 lub 1.2. Nie ma osobnego tutaj, ponieważ dopóki nie pojawi się poważny problem w wersji 1.0, nie musi istnieć osobna opcja. ”
Karan

Odpowiedzi:

15

Od wersji 7.34.0, Curl posiada opcje --tlsv1.0, --tlsv1.1a --tlsv1.2do tego celu.

Strona podręcznika mówi

-1, --tlsv1

(SSL) Zmusza curl do korzystania z TLS w wersji 1.x podczas negocjacji ze zdalnym serwerem TLS. Możesz użyć opcji --tlsv1.0, --tlsv1.1 i --tlsv1.2, aby precyzyjniej kontrolować wersję TLS (jeśli używany backend SSL obsługuje taki poziom kontroli).

...

--tlsv1.2

(SSL) Zmusza curl do korzystania z TLS w wersji 1.2 podczas negocjacji ze zdalnym serwerem TLS. (Dodano w 7.34.0)

RedGrittyBrick
źródło
3

Dodatkowo do --tlsvX.Y/ --sslvZ, który nakłada twardy limit na wybór protokołów zwijanych, możesz użyć --tls-max x.ydo miękkiej kontroli negocjacji protokołów.

AnrDaemon
źródło
2

Zachowanie Curl zmieniło się!

W przypadku wersji wcześniejszych niż 7.54.0 odpowiedź RedGrittyBrick pozostaje poprawna. Dla wersji z dyni po 7.54.0 opcji --tlsv1.0, --tlsv1.1i --tlsv1.2ustawić minimalną wersją TLS, które zwijają się wykorzystać. Aby określić maksymalne wykorzystanie --tls-max <VERSION>.

Z strony podręcznika :

--tls-max

(SSL) WERSJA określa maksymalną obsługiwaną wersję TLS. Minimalna akceptowalna wersja jest ustalana przez tlsv1.0, tlsv1.1, tlsv1.2 lub tlsv1.3.

nelsonda
źródło
0

Spójrz na opcję --cipher zobacz stronę man i dokumenty OpenSSL . Powinieneś być w stanie podać listę szyfrów, która wymusi określone wersje.

BowlesCR
źródło