APTは「無効な」証明書を許可できますか?

APTは「無効な」証明書を許可できますか?

今日は興味深い事実を見つけました。そのため、Kali Linuxを使用しており、リポジトリを使用してシステムを完全に更新したいと思います。http://http.kali.org/kali。バックドアファクトリーとmimikatzのために403を拒否するまで、すべてが大丈夫でした。最初はサーバー設定エラーであるとは無視しましたが、好奇心が強く、URLをFirefoxに表示することにしました。もちろん、私たちの大学ではこれらの特定のURLをブロックしましたが、リポジトリの他のURLはブロックしませんでした。

私はhttpsからURLをロードできることを確認することにしました(例えば、(私が知っている限り)ほとんどのAPTサーバーはhttpsをまったくサポートしていないため、これは可能性が低いことを知っています)、それがうまくいくことを発見しました。 archive-8.kali.orgの証明書のみが許可されています。 (はい、無効な証明書が悪いことを知っていますが、検証を行うためにGPGを使用し、暗号化なしでhttpを使用した場合はなぜできませんか?)

また、私は使用できることを知っていますhttps://archive-8.kali.org/kali以前のURLの代わりにそのようにしましたが無効な証明書の受け入れについて尋ねるのは、単にドメインを切り替えるソリューションが不可能なためです。

答え1

HTTPSトランスポートの特定のパラメータを設定できます/etc/apt/apt.conf.d/man apt.conf詳細については、(「グループのインポート」セクション、サブセクション「https」)を参照してください。
まだ一つあります。便利な例プロジェクトにtrusted-apt

たとえば、証明書チェックを完全に無効にできます。

// Do not verify peer certificate
Acquire::https::Verify-Peer "false";
// Do not verify that certificate name matches server name
Acquire::https::Verify-Host "false";

...または特定のホストの場合:

Acquire::https::repo.domain.tld::Verify-Peer "false";
Acquire::https::repo.domain.tld::Verify-Host "false";

/etc/apt/apt.conf.d/これらのオプションは、公式パッケージによってインストールされたオプション(独立したファイルが生成される)を妨げないように、新しく作成されたファイルに配置する必要があります。
ファイル名はオプションファイルが解析される順序を決定するので、他のパッケージによってインストールされたオプションの後にオプションが解析されるようにかなり高い数を選択することをお勧めします。80ssl-exceptionsたとえば、これを試してみてください。

答え2

一時的な回避策として、次のことができます。

apt -o "Acquire::https::Verify-Peer=false" update
apt -o "Acquire::https::Verify-Peer=false" install curl

関連情報