編集しました/etc/crypto-policies/configシステム全体の暗号化ポリシーをDEFAULTからFUTUREに変更するには、次の手順を実行します。update-crypto-policiesこれにより、RSS / ATOMフィードコレクタはakregatorページを読み込みません。しかし、ポリシーをNEXTに変更しても問題はありません。今後の方針が義務付けられるかどうかトランスポート層セキュリティプロトコルwget --secure-protocol=TLSv1_3 [URL]1.3、いくつかの問題があるウェブサイトは?を通じてサポートしていないことがわかっています。
答え1
単に実行して答えを得ました。wgetwget使用による問題のサイトでGenutes。次のエラーが発生します。
ERROR: The certificate of ‘xkcd.com’ is not trusted.
ERROR: The certificate of ‘xkcd.com’ was signed using an insecure algorithm.
ブラウザを使ってそのウェブサイトの証明書を見ると、2つの指紋アルゴリズムを使用していることがわかりました。SHA-256そしてSHA-1。gnutls.txt設定ファイルを見ると、/usr/share/crypto-policies/FUTURE両方のアルゴリズムが安全ではないとマークされていることがわかります。
$ egrep 'SHA1|SHA256' gnutls.txt
tls-disabled-mac = SHA1
insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
insecure-sig = ECDSA-SHA1
insecure-sig = DSA-SHA256
また、NEXTとFUTUREの間にSHA1に対する不信感が追加されていることがわかります。
$ diff -u NEXT/gnutls.txt FUTURE/gnutls.txt | grep SHA1
+tls-disabled-mac = SHA1
+insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
+insecure-sig = ECDSA-SHA1
返品、FUTUREポリシーはエンドユーザーではなく開発者テストのためのものです。:
はい、これは予想される動作です。 FUTUREポリシーには3072ビットRSA証明書またはECDSA証明書が必要ですが、まだ一般的ではありません。
今後も方針を変えていきません。目的は、一般的な可用性ではなく、完全な128ビットセキュリティ準備状態(2k RSA証明書が小さすぎる)をテストすることです。