Discussioni sul sistema operativo Linux
 

problema con ssl

EMC 8 Lug 2015 12:26
ho una centos 6.x con webmin, firefox su mageia 5 non mi fa più accedere
rilasciandomi un errore sul certificato ssl_error_weak_server_cert_key
gon chromium si però accedo , dopo aver accettato che il certificato non
è ufficiale.

riesco ad accedere anche con firefox da debian .


l'errore che esce fuori è il seguente

ssl_error_weak_server_cert_key


qualche idea?
Alessandro Selli 14 Lug 2015 12:20
Il 08/07/2015 12:26, EMC ha scritto:
> ho una centos 6.x con webmin, firefox su mageia 5 non mi fa più accedere
> rilasciandomi un errore sul certificato ssl_error_weak_server_cert_key
> gon chromium si però accedo , dopo aver accettato che il certificato non
> è ufficiale.
>
> riesco ad accedere anche con firefox da debian .
>
>
> l'errore che esce fuori è il seguente
>
> ssl_error_weak_server_cert_key
>
>
> qualche idea?

È dovuto a questo:

https://bugzilla.mozilla.org/show_bug.cgi?id=1138554

Non so se FF permette di riabilitare la crittografia debole, certo che
farlo la rende pressoché inutile e fonte di un falso senso di sicurezza.

Tra parentesi, un laboratorio d'*****isi che fornisce i referti via un
sito "protetto" da una SSL debole, mi ha contattato per telefono per
rispondere alla mia mail di notifica del problema. La loro soluzione?
"Usate IE, non FF!"
:-(


Ciao,


--
Alessandro Selli http://alessandro.route-add.net
AVVERTENZA: i messaggi inviati a "trappola" non mi arriveranno.
WARNING: messages sent to "trappola" will never reach me.
EMC 14 Lug 2015 15:20
>
> https://bugzilla.mozilla.org/show_bug.cgi?id=1138554
>
> Non so se FF permette di riabilitare la crittografia debole, certo
che
> farlo la rende pressoché inutile e fonte di un falso senso di
sicurezza.
>
> Tra parentesi, un laboratorio d'*****isi che fornisce i referti via
un
> sito "protetto" da una SSL debole, mi ha contattato per telefono per
> rispondere alla mia mail di notifica del problema. La loro
soluzione?
> "Usate IE, non FF!"
> :-(
>
>
> Ciao,

diciamo la volessi risolvere lato server, ovvero per sistemare il
certificato..

essendoci già quello vecchi istallato, basta che rifaccia la procedura
con ssl aggiornato?

enrico
Alessandro Selli 14 Lug 2015 22:27
Il 14/07/2015 alle 15:20, EMC ha scritto:
>>
>> https://bugzilla.mozilla.org/show_bug.cgi?id=1138554
>>
>> Non so se FF permette di riabilitare la crittografia debole, certo
> che
>> farlo la rende pressoché inutile e fonte di un falso senso di
> sicurezza.
>>
>> Tra parentesi, un laboratorio d'*****isi che fornisce i referti via
> un
>> sito "protetto" da una SSL debole, mi ha contattato per telefono per
>> rispondere alla mia mail di notifica del problema. La loro
> soluzione?
>> "Usate IE, non FF!"
>> :-(
>>
>>
>> Ciao,
>
> diciamo la volessi risolvere lato server, ovvero per sistemare il
> certificato..
>
> essendoci già quello vecchi istallato, basta che rifaccia la procedura
> con ssl aggiornato?
>
> enrico

Servono due cose, anzi tre, per avere una buona sicurezza:

0) smettere di usare SSL per usare solo TLS (leggasi il capitolo "SSLv3 Is
Comprehensively Broken" in http://www.ietf.org/rfc/rfc7568.txt )
1) generare un certificato di almeno 2048 bit
2) disabilitare lato server la negoziazione di cifrari da esportazione EDH
(Ephemeral Diffie Hellman) con pochi bit, ossia meno di 512 o, meglio,
inferiori a 1024.

Leggo su https://bugzilla.mozilla.org/show_bug.cgi?id=1138554#c7 questo
commento:

«We can factor a 512-bit RSA key in 8 hours for $75 on EC2. This is based on
recent, real efforts.»

Che da un'idea della relativa sicurezza di una chiave da 512 bit.


Ciao,


--
Alessandro Selli http://alessandro.route-add.net
AVVERTENZA: i messaggi inviati a "trappola" non mi arriveranno.
WARNING: messages sent to "trappola" will never reach me.

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sul sistema operativo Linux | Tutti i gruppi | it.comp.os.linux.sys | Notizie e discussioni linux | Linux Mobile | Servizio di consultazione news.