편집했습니다/etc/crypto-policies/config시스템 전체 암호화 정책을 DEFAULT에서 FUTURE로 변경하기 위해 를 실행한 update-crypto-policies후 RSS/ATOM 피드 수집기가 akregator페이지를 로드하지 않았습니다. 그러나 정책을 NEXT로 변경하면 문제가 없습니다. FUTURE 정책은 다음을 사용하도록 강요합니까?TLS1.3, 문제의 일부 사이트가 wget --secure-protocol=TLSv1_3 [URL]? 를 통해 지원하지 않는 것으로 알고 있습니다.
답변1
나는 평범하게 달려가서 답을 얻었다wget문제의 사이트에서 wget사용 이후그누틀즈. 이 오류가 발생했습니다.
ERROR: The certificate of ‘xkcd.com’ is not trusted.
ERROR: The certificate of ‘xkcd.com’ was signed using an insecure algorithm.
내 브라우저로 사이트의 인증서를 살펴보면 두 가지 지문 알고리즘을 사용하는 것을 볼 수 있습니다.SHA-256그리고SHA-1. gnutls.txt구성 파일을 살펴보면 /usr/share/crypto-policies/FUTURE두 알고리즘 모두 안전하지 않은 것으로 표시되어 있음을 알 수 있습니다.
$ egrep 'SHA1|SHA256' gnutls.txt
tls-disabled-mac = SHA1
insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
insecure-sig = ECDSA-SHA1
insecure-sig = DSA-SHA256
그리고 NEXT와 FUTURE 사이에 SHA1에 대한 불신이 추가된 것을 볼 수 있습니다.
$ diff -u NEXT/gnutls.txt FUTURE/gnutls.txt | grep SHA1
+tls-disabled-mac = SHA1
+insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
+insecure-sig = ECDSA-SHA1
또한,FUTURE 정책은 최종 사용자가 사용하기보다는 개발자가 테스트하기 위한 것으로 보입니다.:
예, 이는 예상된 동작입니다. FUTURE 정책에는 아직 일반적이지 않은 3072비트 RSA 인증서 또는 ECDSA 인증서가 필요합니다.
우리는 미래 정책을 바꾸지 않을 것입니다. 그 목적은 전체 128비트 보안 준비 상태(2,000개 RSA 인증서는 너무 작음)를 테스트하는 것이며 범용 유용성은 아닙니다.