편집했습니다/etc/crypto-policies/config
시스템 전체 암호화 정책을 DEFAULT에서 FUTURE로 변경하려면 다음을 실행하세요. update-crypto-policies
그러면 RSS/ATOM 피드 수집기가 akregator
페이지를 로드하지 않습니다. 하지만 정책을 NEXT로 변경하면 문제가 없습니다. 향후 정책이 의무화될 것인지 여부전송 계층 보안 프로토콜wget --secure-protocol=TLSv1_3 [URL]
1.3, 일부 문제가 있는 웹사이트는 ?를 통해 지원하지 않는 것으로 알고 있습니다 .
답변1
간단히 실행하여 답을 얻었습니다.wget
wget
사용 으로 인해 문제의 사이트에서Genutes. 다음 오류가 발생합니다.
ERROR: The certificate of ‘xkcd.com’ is not trusted.
ERROR: The certificate of ‘xkcd.com’ was signed using an insecure algorithm.
브라우저를 이용해 해당 웹사이트의 인증서를 살펴보니 두 가지 지문 알고리즘을 사용하고 있는 것으로 나타났습니다.SHA-256그리고SHA-1. gnutls.txt
구성 파일을 보면 /usr/share/crypto-policies/FUTURE
두 알고리즘 모두 안전하지 않은 것으로 표시되어 있음을 알 수 있습니다.
$ egrep 'SHA1|SHA256' gnutls.txt
tls-disabled-mac = SHA1
insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
insecure-sig = ECDSA-SHA1
insecure-sig = DSA-SHA256
또한 NEXT와 FUTURE 사이에 SHA1에 대한 불신이 추가된 것을 볼 수 있습니다.
$ diff -u NEXT/gnutls.txt FUTURE/gnutls.txt | grep SHA1
+tls-disabled-mac = SHA1
+insecure-sig = RSA-SHA1
insecure-sig = DSA-SHA1
+insecure-sig = ECDSA-SHA1
반품,FUTURE 정책은 최종 사용자가 아닌 개발자 테스트를 위한 것으로 보입니다.:
예, 이는 예상된 동작입니다. FUTURE 정책에는 3072비트 RSA 인증서 또는 ECDSA 인증서가 필요하지만 아직 일반적이지 않습니다.
우리는 앞으로도 정책을 바꾸지 않을 것입니다. 목적은 일반 가용성이 아닌 전체 128비트 보안 준비 상태(2k RSA 인증서가 너무 작음)를 테스트하는 것입니다.