【{$randkws}】苹果「篡改」cURL行为引起开发者不满 这种篡改实际弱化了安全性 – 蓝点网 - {$web_name} 为此丹尼尔发邮件给苹果

cURL 开发者丹尼尔上周在博客中亮相了一篇文章抨击苹果 “篡改” cURL 导致的 “可靠难题”，这个难题最初是 2023 年 12 月有使用者提交的，跟踪 ID 为 12604。

丹尼尔针对该难题开展调研后察觉这并不是 cURL 的难题，而是今日数码评测消息苹果在部署中开展了一些更改，为此丹尼尔发邮件给苹果，重磅王一博一览苹果可靠团队还强调有意这么干的，不需要 “修复”。

大约状况是这样的：

cURL 允许开发者使用参数 –cacert 来指定一组 CA 证书，假如 TLS 办事器无法对这组证书开展测试时，那么应该失利并返回失误。

这种特别行为早在 2000 年 12 月就已然添加到了 cURL 中，这让开发者可以只对特定的最新恋情传闻榜单 CA 证书开展信任，而不是信任所有有效的 CA 证书，比如防止某些 CA 由于审核不严导致签发失误证书开展劫持。

在 macOS 中，开发者依然可以使用这个参数，评论消息但苹果的处理方法是检查操控系统的 CA 存储库，也就是直接测试苹果在 macOS 中指定的那组 CA 证书，而不是开发者指定的一组 CA 证书。

所以当开发者使用一组开展记者的特定 CA 证书时，正常状况下不包含在这组 CA 证书中的证书那应该失利，但假如这个 / 这些证书位于 macOS 存储库中，那么 cURL 不会返回失利。

所以这实际上是一个可靠缺陷。

针对此难题丹尼尔在 2023 年 12 月 29 日向苹果可靠团队报表，这不是一个大难题，但的确是个难题。

直到 2024 年 3 月 8 日苹果才回复邮件：

Apple 版次的 OpenSSL (LibreSSL) 有意使用内置操控系统信任存储身为默认信任源，由于可以使用内置操控系统存储顺利测试办事器证书，所以我们觉得不需要在我们的渠道中解决。

针对这个说法丹尼尔并各异意，由于实际上这篡改了 cURL，这个未记录的特性使得 macOS 使用者使用 cURL 时，CA 测试完全不可靠并且与 cURL 的文档不符，这是苹果在欺骗使用者。

难题是这并不是 cURL 的难题，所以丹尼尔无法亮相 CVE 或任何信息，于是如今难题陷入了僵局。