yo edité/etc/crypto-policies/configpara cambiar la política de cifrado de todo el sistema de DEFAULT a FUTURE, ejecuté update-crypto-policiesy luego el agregador de feeds RSS/ATOM akregatorno cargaba páginas. Sin embargo, si cambio la política a SIGUIENTE no tengo problemas. ¿La política FUTURA obliga al uso deTLS1.3, que sé que algunos de los sitios en cuestión no admiten a través de wget --secure-protocol=TLSv1_3 [URL]?
Respuesta1
Obtuve la respuesta corriendo simplewgeten un sitio en cuestión, ya que wgetutilizagnutles. Recibí este error:
ERROR: The certificate of ‘xkcd.com’ is not trusted.
ERROR: The certificate of ‘xkcd.com’ was signed using an insecure algorithm.
Al mirar el certificado del sitio con mi navegador, veo que utiliza dos algoritmos de huellas digitales,SHA-256ySHA-1. Al mirar el gnutls.txtarchivo de configuración /usr/share/crypto-policies/FUTUREse puede ver que ambos algoritmos están marcados como inseguros:
$ egrep 'SHA1|SHA256' gnutls.txt
tls-disabled-mac = SHA1
insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
insecure-sig = ECDSA-SHA1
insecure-sig = DSA-SHA256
Y también se puede ver que se agregó desconfianza hacia SHA1 entre PRÓXIMO y FUTURO:
$ diff -u NEXT/gnutls.txt FUTURE/gnutls.txt | grep SHA1
+tls-disabled-mac = SHA1
+insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
+insecure-sig = ECDSA-SHA1
Sí, este es el comportamiento esperado. La política FUTURA requiere certificados RSA de 3072 bits o certificados ECDSA que aún no son comunes.
No vamos a cambiar la política FUTURA. Su propósito es probar la disponibilidad total de seguridad de 128 bits (los certificados RSA de 2k son demasiado pequeños para eso) y no la usabilidad de propósito general.