Rustup 安装脚本在较新 curl 版本中的 TLS 警告问题分析

在 Alpine Linux 8.20 等使用较新 curl 版本（8.10.0及以上）的系统上，用户在执行 rustup 安装脚本时可能会遇到 TLS 相关的警告信息。本文将深入分析这一问题的成因、影响范围以及解决方案。

问题现象

当用户执行标准的 rustup 安装命令时：

curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

系统会显示以下警告信息：

Warning: Not enforcing strong cipher suites for TLS, this is potentially less secure
Warning: Not enforcing TLS v1.2, this is potentially less secure

问题根源

这个问题源于 curl 8.10.0 版本的一个变更。rustup 安装脚本原本通过解析 curl 的 --help 输出来检测是否支持特定的 TLS 参数，但新版本的 curl 修改了帮助文本的输出格式，导致检测逻辑失效。

具体来说，rustup 安装脚本中原本有以下检测逻辑：

check_tls_support() {
    local _curl
    _curl="$1"
    if [ -z "$_curl" ]; then
        return 1
    fi

    local _openssl_version
    _openssl_version="$(openssl version 2>&1 | grep -Eo '[0-9]+\.[0-9]+\.[0-9]+')"
    if [ -n "$_openssl_version" ]; then
        case "$_openssl_version" in
            0.9.*|1.0.0*|1.0.1*)
                echo "Warning: Detected OpenSSL version $_openssl_version which is very old and may not support TLS 1.2"
                return 1
                ;;
        esac
    fi

    local _tls_support
    _tls_support="$($_curl --help 2>&1 | grep -E '(--tlsv1.2|--tlsv1.3)')"
    if [ -z "$_tls_support" ]; then
        return 1
    fi

    return 0
}

新版本 curl 的帮助文本格式变化导致 grep -E '(--tlsv1.2|--tlsv1.3)' 无法正确匹配到 TLS 相关参数。

影响范围

此问题影响：

• 使用 curl 8.10.0 及以上版本的系统
• 特别是 Alpine Linux 8.20 等默认安装较新 curl 版本的发行版
• 首次安装 rustup 的用户

临时解决方案

在 rustup 官方修复此问题前，用户可以通过设置环境变量来强制使用安全的 TLS 配置：

export RUSTUP_TLS_CIPHERSUITES="TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384"

设置此环境变量后，再执行 rustup 安装命令将不会显示 TLS 警告。

技术背景

TLS（传输层安全协议）是保障网络通信安全的重要协议。rustup 安装脚本默认会尝试强制使用 TLS 1.2 或更高版本以及安全的加密套件，以防止潜在的中间人攻击等安全风险。

curl 作为广泛使用的命令行工具，其 TLS 相关参数的检测机制对确保安全传输至关重要。当检测逻辑失效时，虽然连接仍能建立，但可能无法确保使用最安全的配置。

长期解决方案

rustup 开发团队可能需要更新检测逻辑，例如：

1. 使用 --help all 替代简单的 --help 来获取完整的参数列表
2. 增加对新版 curl 帮助文本格式的支持
3. 考虑使用其他方式检测 TLS 支持情况

这个问题提醒我们，在编写跨版本兼容的脚本时，对依赖工具的输出解析需要更加健壮，最好能预见未来可能的格式变化。

总结

rustup 安装脚本在较新 curl 版本中出现的 TLS 警告是一个典型的版本兼容性问题。虽然不影响基本功能，但从安全角度考虑，用户应当采取临时解决方案或等待官方修复。这也提醒开发者，在编写安装脚本时需要考虑更广泛的版本兼容性测试。