Rustup 安装脚本在较新 curl 版本中的 TLS 警告问题分析

2025-06-03 09:06:15作者：郜逊炳

在 Alpine Linux 8.20 等使用较新 curl 版本（8.10.0及以上）的系统上，用户在执行 rustup 安装脚本时可能会遇到 TLS 相关的警告信息。本文将深入分析这一问题的成因、影响范围以及解决方案。

问题现象

当用户执行标准的 rustup 安装命令时：

curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

系统会显示以下警告信息：

Warning: Not enforcing strong cipher suites for TLS, this is potentially less secure
Warning: Not enforcing TLS v1.2, this is potentially less secure

问题根源

这个问题源于 curl 8.10.0 版本的一个变更。rustup 安装脚本原本通过解析 curl 的 --help 输出来检测是否支持特定的 TLS 参数，但新版本的 curl 修改了帮助文本的输出格式，导致检测逻辑失效。

具体来说，rustup 安装脚本中原本有以下检测逻辑：

check_tls_support() {
    local _curl
    _curl="$1"
    if [ -z "$_curl" ]; then
        return 1
    fi

    local _openssl_version
    _openssl_version="$(openssl version 2>&1 | grep -Eo '[0-9]+\.[0-9]+\.[0-9]+')"
    if [ -n "$_openssl_version" ]; then
        case "$_openssl_version" in
            0.9.*|1.0.0*|1.0.1*)
                echo "Warning: Detected OpenSSL version $_openssl_version which is very old and may not support TLS 1.2"
                return 1
                ;;
        esac
    fi

    local _tls_support
    _tls_support="$($_curl --help 2>&1 | grep -E '(--tlsv1.2|--tlsv1.3)')"
    if [ -z "$_tls_support" ]; then
        return 1
    fi

    return 0
}

新版本 curl 的帮助文本格式变化导致 grep -E '(--tlsv1.2|--tlsv1.3)' 无法正确匹配到 TLS 相关参数。

影响范围

此问题影响：

使用 curl 8.10.0 及以上版本的系统
特别是 Alpine Linux 8.20 等默认安装较新 curl 版本的发行版
首次安装 rustup 的用户

临时解决方案

在 rustup 官方修复此问题前，用户可以通过设置环境变量来强制使用安全的 TLS 配置：

export RUSTUP_TLS_CIPHERSUITES="TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384"

设置此环境变量后，再执行 rustup 安装命令将不会显示 TLS 警告。