主要观点：

• 2023 年 12 月 28 日在 curl 问题追踪器中提交了bugreport 12604，报告称 macOS 和 Linux 中--cacert行为不一致，由 Yuedong Wu 提交。
• curl 的--cacert命令行选项用于指定信任的 CA 证书集，多年来一直存在此功能，以确保与已知可信服务器通信。
• 在 macOS 上使用--cacert时，苹果分发的版本似乎会回退并检查系统 CA 存储，这是一个意外的二次检查，导致不应通过的证书检查通过，是个安全问题。
• 2023 年 12 月 29 日向苹果产品安全部门报告，2024 年 3 月 8 日苹果产品安全部门回复称其版本的 OpenSSL 有意使用内置系统信任存储作为默认信任源，不认为需要解决。
• 作者认为这是个未记录的特性，使 macOS 上的 curl CA 证书验证不可靠且与文档不一致，会欺骗用户，虽不是 curl 版本的安全漏洞但仍需注意。

关键信息：

• 提交时间：2023 年 12 月 28 日
• 报告标题：flag –cacert behavior isn’t consistent between macOS and Linux
• 提交人：Yuedong Wu
• 作者报告时间：2023 年 12 月 29 日 08:30 UTC
• 苹果回复时间：2024 年 3 月 8 日
• 苹果回复内容：苹果的 OpenSSL 版本有意使用内置系统信任存储作为默认信任源，无需解决

重要细节：

• curl 的--cacert选项功能及添加时间（2000 年 12 月）
• macOS 上苹果分发的 curl 版本在使用--cacert时的行为及二次检查情况
• 此问题未被认定为 curl 版本的安全漏洞，而是与苹果分发的 LibreSSL 版本相关