eu editei/etc/crypto-policies/configpara alterar a política de criptografia de todo o sistema de DEFAULT para FUTURE, executei update-crypto-policiese depois o agregador de feeds RSS/ATOMakregator não estava carregando páginas. Porém, se eu mudar a política para NEXT não terei problemas. A política do FUTURO força o uso deTLS1.3, que sei que alguns dos sites em questão não suportam via wget --secure-protocol=TLSv1_3 [URL]?
Responder1
Eu obtive a resposta executando simpleswgetem um site em questão, uma vez que wgetusagnutls. Eu recebi este erro:
ERROR: The certificate of ‘xkcd.com’ is not trusted.
ERROR: The certificate of ‘xkcd.com’ was signed using an insecure algorithm.
Olhando o certificado do site com meu navegador, vejo que ele usa dois algoritmos de impressão digital,SHA-256eSHA-1. Olhando no gnutls.txtarquivo de configuração, /usr/share/crypto-policies/FUTUREpode-se ver que ambos os algoritmos estão marcados como inseguros:
$ egrep 'SHA1|SHA256' gnutls.txt
tls-disabled-mac = SHA1
insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
insecure-sig = ECDSA-SHA1
insecure-sig = DSA-SHA256
E também pode-se ver que a desconfiança em SHA1 foi adicionada entre NEXT e FUTURE:
$ diff -u NEXT/gnutls.txt FUTURE/gnutls.txt | grep SHA1
+tls-disabled-mac = SHA1
+insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
+insecure-sig = ECDSA-SHA1
Sim, este é o comportamento esperado. A política FUTURE requer certificados RSA de 3072 bits ou certificados ECDSA que ainda não são comuns.
Não vamos mudar a política do FUTURO. Seu objetivo é testar a prontidão total de segurança de 128 bits (certificados RSA de 2k são muito pequenos para isso) e não a usabilidade de uso geral.