Los certificados SSL que no han sido emitidos por una autoridad de certificación o caducados no son de confianza. Por eso, al acceder a una web con un certificado no válido los navegadores suelen avisar de los riesgos y pedir confirmación para continuar. Igualmente, wget no descarga el contenido cuando se encuentra con un certificado no válido. Lo que, en la mayoría de los casos, es la opción correcta ya que el recurso puede suponer un peligro y las aplicaciones están diseñadas para priorizar la seguridad. Pero, ¿qué pasa con los certificados auto-firmados que se usan en entornos de desarrollo? Como los que se pueden crear con OpenSSL. En esta entrada se verá cómo se pueden ignorar certificados SSL inválidos con wget para cuando se trabaja en entornos locales.
Importante: En el caso de que wget no descargue un recurso de internet debido a que el certificado no es válido no se debe usar la configuración que se explica en esta entrada. Solo se debe usar en el caso de que sepamos que el recurso es realmente seguro.
¿Qué es Wget?
wget
es una herramienta de línea de comandos utilizada para descargar archivos desde la web. Una aplicación de código abierto usada ampliamente en sistemas operativos basados en UNIX, aunque también se puede descargar para Windows. Entre las principales características de wget
se encuentra su capacidad para descargar los recursos de manera recursiva, lo que significa que puede seguir los enlaces dentro de una página y descargar todos los archivos asociados.
¿Por qué ignorar certificados SSL inválidos?
Los certificados SSL son una parte crucial para la seguridad en las conexiones en redes como internet. Garantizan que la comunicación entre un cliente y un servidor web sea segura y privada. Un certificado SSL es válido cuando este ha sido firmado por una entidad de certificación confiable, lo que garantiza que la conexión se hace con quien dice ser. Por este motivo, los clientes web, como los navegadores y las herramientas de descarga, rechazan la conexión a los certificados SSL inválidos debido a la falta de confianza en el certificado.
Sin embargo, hay casos en los que los certificados SSL pueden ser inválidos y aún así la conexión es segura. El caso más habitual son los certificados auto-firmados en entornos de desarrollo o pruebas. En estos casos, puede ser necesario ignorar estas protecciones.
Cómo ignorar certificados SSL inválidos con Wget
Afortunadamente, wget
ofrece una opción conveniente para pasar por alto la verificación de los certificados SSL. La opción --no-check-certificate
permite a wget
descargar archivos desde servidores con certificados inválidos sin interrupciones. La forma de usarlo sería la que se muestra a continuación:
wget --no-check-certificate URL_del_archivo
Al utilizar esta opción, wget
no verificará la validez del certificado SSL en el servidor y descarga el recurso.
Implicaciones de seguridad
Es importante tener en cuenta que ignorar los certificados SSL inválidos puede exponer a la máquina a riesgos de seguridad. Cuando wget
no verifica la autenticidad del certificado, existe el riesgo de realizar la conexión con un impostor o un servidor comprometido. Facilitando ataques en los que se interceptan y manipulan las comunicaciones entre los clientes y el servidor.
Por lo tanto, es crucial utilizar la opción --no-check-certificate
con precaución y solo en situaciones en las que se está seguro de la legitimidad del servidor remoto. En entornos de producción y cuando se trata de datos sensibles, siempre es recomendable resolver los problemas de certificado de manera adecuada y utilizar certificados válidos emitidos por autoridades de certificación confiables.
Conclusiones
Es ignorar certificados SSL inválidos con wget mediante la opción --no-check-certificate
. Si bien esta opción puede ser útil en ciertos escenarios, es importante comprender las implicaciones de seguridad asociadas y utilizarla con precaución. Es importante priorizar la seguridad a la comodidad de no poder descargar un archivo debido a un certificado mal configurado.
Imagen de Gerd Altmann en Pixabay
Deja una respuesta