Почему повышение политики шифрования до FUTURE приводит к поломке некоторых веб-сайтов?
Из справочной страницы ls:
-h, --human-readable
with -l and -s, print sizes like 1K 234M 2G etc.
--si likewise, but use powers of 1000 not 1024
Таким образом, если вы просто используете -h, вы получите MiB (^1024 ). Если вы добавите --si к параметрам, он будет использовать MB (^1000 ). Проверено на Ubuntu, Debian и RedHat. В настоящее время у меня нет доступа к коммерческим операционным системам UNIX, но они, как правило, не включают опцию -h.
Я получил ответ, запустив простойwgetна рассматриваемом сайте, так как wgetиспользует gnutls . Я получил эту ошибку:
ERROR: The certificate of ‘xkcd.com’ is not trusted.
ERROR: The certificate of ‘xkcd.com’ was signed using an insecure algorithm.
Глядя на сертификат сайта в своем браузере, я вижу, что он использует два алгоритма снятия отпечатков: SHA -256 и SHA -1 . Глядя в конфигурационный файл gnutls.txtв /usr/share/crypto-policies/FUTURE, можно увидеть, что оба этих алгоритма помечены как небезопасные :
$ egrep 'SHA1|SHA256' gnutls.txt
tls-disabled-mac = SHA1
insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
insecure-sig = ECDSA-SHA1
insecure-sig = DSA-SHA256
Также видно, что недоверие к SHA1 добавилось между NEXT и FUTURE:
$ diff -u NEXT/gnutls.txt FUTURE/gnutls.txt | grep SHA1
+tls-disabled-mac = SHA1
+insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
+insecure-sig = ECDSA-SHA1
Yes, this is expected behaviour. The FUTURE policy requires 3072 bit RSA certificates or ECDSA certificates which are not common yet.
We are not going to change the FUTURE policy. Its purpose is for testing for full 128 bit security readiness (2k RSA certs are too small for that) and not general purpose usability.