編集しました/etc/crypto-policies/configシステム全体の暗号化ポリシーをDEFAULTからFUTUREに変更するために、を実行したところupdate-crypto-policies、その後RSS/ATOMフィードアグリゲータはakregatorページをロードしなくなりました。ただし、ポリシーをNEXTに変更すると問題はなくなります。FUTUREポリシーは、TLS1.3 ですが、問題となっているサイトの一部ではwget --secure-protocol=TLSv1_3 [URL]?経由ではサポートされていないことがわかっています。
答え1
平凡に走って答えを得たwgetwget問題のサイトでは、グナットル。次のエラーが発生しました:
ERROR: The certificate of ‘xkcd.com’ is not trusted.
ERROR: The certificate of ‘xkcd.com’ was signed using an insecure algorithm.
ブラウザでサイトの証明書を見ると、2つのフィンガープリントアルゴリズムが使用されていることがわかります。SHA-256そしてSHA-1gnutls.txt設定ファイルを見ると/usr/share/crypto-policies/FUTURE、両方のアルゴリズムが安全でないとマークされていることがわかります。
$ egrep 'SHA1|SHA256' gnutls.txt
tls-disabled-mac = SHA1
insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
insecure-sig = ECDSA-SHA1
insecure-sig = DSA-SHA256
また、NEXT と FUTURE の間に SHA1 の不信が追加されたこともわかります。
$ diff -u NEXT/gnutls.txt FUTURE/gnutls.txt | grep SHA1
+tls-disabled-mac = SHA1
+insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
+insecure-sig = ECDSA-SHA1
また、FUTUREポリシーは、エンドユーザーによる使用ではなく、開発者によるテストを目的としているようです。:
はい、これは想定された動作です。FUTURE ポリシーでは、まだ一般的ではない 3072 ビットの RSA 証明書または ECDSA 証明書が必要です。
FUTURE ポリシーを変更する予定はありません。その目的は、完全な 128 ビット セキュリティの準備状況をテストすることであり (2k RSA 証明書は小さすぎるため)、汎用的な使いやすさをテストすることではありません。