Aperçu
wget-sslrc maintient les puissantes fonctionnalités de téléchargement de `wget` tout en étant conçu pour améliorer la sécurité des connexions SSL/TLS ou simplifier les options complexes de certificat. Ceci est particulièrement utile dans les environnements où les exigences de sécurité sont strictes.
Caractéristiques principales
- Forçage de la version du protocole SSL/TLS (par exemple, TLSv1.2 ou supérieur)
- Simplification de l'utilisation de bundles de certificats CA spécifiques
- Renforcement ou traitement flexible de la validation des certificats
- Compatibilité avec toutes les fonctionnalités de `wget`
Options principales
wget-sslrc appelle `wget` en interne, donc la plupart des options de `wget` peuvent être utilisées directement. De plus, wget-sslrc peut fournir des options supplémentaires liées à la sécurité ou modifier les valeurs par défaut. Ci-dessous sont des options couramment utilisées liées à SSL/TLS dans `wget`.
Liées à SSL/TLS
Commande générée :
Essayez de combiner les commandes.
Description:
`wget-sslrc` Exécute la commande.
Essayez d'exécuter virtuellement les commandes avec l'IA en combinant les options ci-dessus.
Exemples d'utilisation
wget-sslrc est utilisé de manière similaire à `wget`, mais des configurations liées à la sécurité peuvent être appliquées en interne.
Téléchargement sécurisé de base
wget-sslrc https://example.com/secure_file.zipTélécharge un fichier en utilisant les options de sécurité configurées par défaut.
Utilisation d'un certificat CA spécifique
wget-sslrc --ca-certificate=/etc/ssl/my_custom_ca.pem https://internal.example.com/data.tar.gzValide la validité du serveur en utilisant le fichier de certificat CA spécifié.
Forcer le protocole TLSv1.2
wget-sslrc --secure-protocol=TLSv1.2 https://legacy-server.com/update.binForce l'utilisation du protocole TLSv1.2 uniquement lors du téléchargement.
Ignorer la vérification du certificat (Attention)
wget-sslrc --no-check-certificate https://test.untrusted.com/file.txtTélécharge un fichier en ignorant la validation du certificat. Ne pas utiliser avec des sources non fiables en raison des risques de sécurité.
Installation
wget-sslrc n'est pas une commande incluse par défaut dans les distributions Linux standard. Il est généralement implémenté sous forme de script shell qui encapsule la commande `wget`. Voici comment créer un script `wget-sslrc` simple.
Prérequis
La commande `wget` doit être installée sur votre système.
Création du script et attribution des permissions d'exécution
echo '#!/bin/bash\nexec wget --secure-protocol=TLSv1_2 "$@"' > wget-sslrc
chmod +x wget-sslrcEnregistrez le contenu suivant dans un fichier nommé `wget-sslrc` et attribuez-lui les permissions d'exécution. Cet exemple utilise TLSv1.2 par défaut et exploite le chemin des certificats CA système.
Ajout au PATH
sudo mv wget-sslrc /usr/local/bin/Déplacez le script vers un répertoire situé dans le PATH, tel que `/usr/local/bin`, pour pouvoir l'exécuter de n'importe où.
Conseils et précautions
Voici quelques conseils utiles et points à considérer lors de l'utilisation de wget-sslrc.
Version du protocole sécurisé
Pour se conformer aux normes de sécurité les plus récentes, il est recommandé de forcer TLSv1.2 ou TLSv1.3 en utilisant l'option `--secure-protocol`.
- TLSv1.2 : `wget-sslrc --secure-protocol=TLSv1.2 ...`
- TLSv1.3 : `wget-sslrc --secure-protocol=TLSv1.3 ...` (Nécessite wget version 1.20 ou supérieure)
Gestion des certificats
Si vous utilisez un réseau privé ou des certificats auto-signés, vous devez spécifier explicitement le fichier de certificat CA de confiance avec l'option `--ca-certificate`.
- Vérifier le chemin CA par défaut du système : `/etc/ssl/certs/` ou `/etc/pki/tls/certs/`
- Mettre à jour le bundle de certificats : `sudo update-ca-certificates` (Debian/Ubuntu) ou `sudo update-pki-ca-trust` (RHEL/CentOS)
Débogage
En cas de problèmes de connexion, vous pouvez utiliser l'option `-d` (debug) transmise à `wget` pour obtenir des informations détaillées sur la négociation SSL/TLS. Par exemple, `wget-sslrc -d https://example.com`.