苹果在macOS中“魔改”cURL，作者无端背锅很生气：误导用户！

来自公众号：OSC开源社区链接：https://www.oschina.net/news/282590/the-apple-curl-security-incident-12604cURL 创始人兼首席开发者 Daniel Stenberg 又对苹果 “开炮” 了，上周他发表文章指责苹果修改了 cURL 在 macOS 中使用某参数时的默认行为，此举会有可能引发安全问题。具体来说，cURL 的--cacert参数参数为用户提供了一种方法，让用户在进行接下来的传输时告诉 cURL 这是要信任的 CA 证书集。如果 TLS 服务器无法对其进行验证，则 cURL 会运行失败并返回错误。这项特性于 2000 年 12 月添加到 cURL，目的是为了让用户知道它与已知且可信的服务器进行通信。然而，苹果在 macOS 上提供的 cURL 在这种情况下的处理方法是检查系统的 CA 仓库 —— 即直接验证苹果在 macOS 指定的那组 CA 证书，而非开发者指定的 CA 证书。正因如此，这可能会导致 TLS 服务器对 CA 证书的检查意外通过 ………………………………