我编辑过/etc/crypto-policies/config要将系统范围的加密策略从 DEFAULT 更改为 FUTURE,请运行update-crypto-policies,然后 RSS/ATOM 提要聚合器akregator不会加载页面。但是,如果我将策略更改为 NEXT,则没有问题。未来政策是否强制使用传输层安全协议1.3,我知道一些有问题的网站不支持 via wget --secure-protocol=TLSv1_3 [URL]?
答案1
我通过简单的跑步得到了答案wget在有问题的网站上,因为wget使用格努特斯。我收到这个错误:
ERROR: The certificate of ‘xkcd.com’ is not trusted.
ERROR: The certificate of ‘xkcd.com’ was signed using an insecure algorithm.
用浏览器查看该网站的证书,我发现它使用了两种指纹算法,SHA-256和SHA-1。查看其中的gnutls.txt配置文件/usr/share/crypto-policies/FUTURE可以看到这两种算法都被标记为不安全:
$ egrep 'SHA1|SHA256' gnutls.txt
tls-disabled-mac = SHA1
insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
insecure-sig = ECDSA-SHA1
insecure-sig = DSA-SHA256
还可以看到,在 NEXT 和 FUTURE 之间添加了对 SHA1 的不信任:
$ diff -u NEXT/gnutls.txt FUTURE/gnutls.txt | grep SHA1
+tls-disabled-mac = SHA1
+insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
+insecure-sig = ECDSA-SHA1
还,FUTURE 政策似乎是供开发人员测试而不是供最终用户使用:
是的,这是预期的行为。 FUTURE 策略需要 3072 位 RSA 证书或 ECDSA 证书,但目前还不常见。
我们不会改变未来的政策。其目的是测试完整的 128 位安全准备情况(2k RSA 证书对此来说太小),而不是通用可用性。