Next: , Previous: HTTP Options, Up: Invoking


2.8 HTTPS (SSL/TLS) オプション

暗号化されたHTTP (HTTPS)のダウンロードをサポートするために,外部のSSLラ イブラリ,現在はOpenSSLを使用してWgetをコンパイルする必要があります. WgetがSSLサポート無しでコンパイルされている場合,以下のオプションはすべ て利用できません.

`--secure-protocol=protocol'
セキュアプロトコルの使用を選択します.正当な値は,`auto', `SSLv2',`SSLv3',そして`TLSv1'です.`auto'が使用さ れている場合,SSLライブラリは,適切なプロトコルを自動的に自由に選択でき, SSLv2のあいさつを送って,SSLv3とTLSv1のサポートを公表することで達成しま す.これはデフォルトです.

`SSLv2',`SSLv3',または`TLSv1'を使用した場合,対応する プロトコルを強制的に使用します.これは,古かったりバグがあったりする SSLサーバの実装と通信するとき,OpenSSLが正しいプロトコルのバージョンを 確実に選択するので役に立ちます.幸いにも,そのようなサーバは滅多にあり ません.


`--no-check-certificate'
利用可能な認証局に対する証明書サーバを調査しません.また,証明書に記載 されている共通の名前にマッチするホスト名のURLを要求しません.

Wget 1.10では,デフォルトはサーバの認証局を照合し,認証局を認識し,SSL のハンドシェークを破棄し,照合に失敗した場合はダウンロードを中止します. これでより安全なダウンロードを提供しますが,以前のWgetのバージョンで動 作さしていたサイトでの互換性が壊れ,特に自己署名,期限切れ,または,そ の他の無効な証明書を使用しているものです.このオプションで,“不安全” な処理モードを強制し,証明書の照合エラーを警告に変換し,処理の続行を可 能とします.

“certificate verification”エラーになったり,“common name doesn't match requested host name”と言われる場合,このオプションを使用して照合 をとばして,ダウンロードを続行することが可能です.別の方法でサイ トの認証を確信している場合や,認証の照合を本当に気にしない場合だけ,こ のオプションを使用してください.秘密や重要なデータを送信するとき,認証 調査を行わないのは,ほとんどいつも悪い発想です.


`--certificate=file'
fileにあるクライアントの証明書を使用します.これは,サーバに接続 しようとしているクライアントから証明書を要求するように構成されているサー バで必要です.通常,証明書は要求されないのでこのスイッチはオプションで す.


`--certificate-type=type'
クライアントの証明書の形式を指定します.正当な値は`PEM' (デフォル トで想定されます)と`DER'で,それは`ASN1'としても知られていま す.
`--private-key=file'
秘密鍵をfileから読み込みます.これで証明書から取り出したファイル にある秘密鍵を提供することが可能になります.
`--private-key-type=type'
秘密鍵の形式を指定します.受け入れられる値は`PEM' (デフォルト)と `DER'です.
`--ca-certificate=file'
fileを,照合の対となる認証局(“CA”)にバンドルされているファイル として使用します.証明書はPEM書式にする必要があります.

このオプションを使用しないと,WgetはCA証明書をシステム指定の場所で探し, それはOpenSSLのインストール時に選択された場所です.


`--ca-directory=directory'
PEM書式のCA証明書が含まれるディレクトリを指定します.それぞれのファイル には一つのCA証明書が含まれていて,ファイル名は証明書から得られるハッシュ 値が基になっています.これは,証明書ディレクトリを,OpenSSLで提供される c_rehashユーティリティで処理することで実施されます.たくさんの証 明書がインストールされているとき,Wgetは要求に応じて証明書を取ってくる ので,`--ca-certificate'より`--ca-directory'の使用がより効果 的です.

このオプションを使用しないと,WgetはCA証明書をシステム指定の場所で探し, それはOpenSSLのインストール時に選択された場所です.


`--random-file=file'
/dev/randomが無いシステムで,疑似乱数を生成する種となる乱数デー タのソースとしてfileを使用します.

そのようなシステムでは,SSLライブラリが外部の乱数初期化ソースを必要しま す.ランダムさはEGD (後述の`--egd-file'を参照)で提供されたり,ユー ザが指定した外部ソースから読み込んでもかまいません.このオプションが指 定されていない場合,ランダムデータを$RANDFILEで探し,それも設定 されていない場合,$HOME/.rndで探します.これら全てが利用不可能な 場合,SSLの暗号化は,まず使用できないでしょう.

“Could not seed OpenSSL PRNG; disabling SSL.”というエラーになった場合, 上記の手法などを利用して乱数データを提供すべきです.


`--egd-file=file'
EGDソケットとしてfileを使用します.EGDはEntropy Gathering Daemonを意味し,様々な予想不可能なシステムソースからデータを収集し,そ れを必要とする外部プログラムで利用可能にするユーザ空間のプログラムです. SSLライブラリのような暗号化ソフトウェアは,暗号的に強い鍵を生成するため に使用する乱数生成器の種として,繰り返しの無いランダムさをもつソースが 必要です.

OpenSSLで,RAND_FILE環境変数を使用したエントロピーの独自ソースを 指定することが可能となります.この変数が設定されていない場合や,指定さ れたファイルでは十分なランダムさが得られない場合は,OpenSSLは乱数データ をこのオプションで指定されているEGDソケットから読み込みます.

このオプションが指定されていない(そして,等価なスタートアップコマンドが 使用されていない)場合,EGDを使用しません.EGDは,/dev/randomをサ ポートする最近のUnixでは不用です.