Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Certificato firmato con algoritmo di firma debole.
Vai a Precedente  1, 2
 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Ven Mag 11, 2012 11:27 am    Oggetto: Rispondi citando

Andando su setup -> https -> x509 -> view, bisogna controllare che nel certificato che viene usato sia presente una riga tipo:
Signature Algorithm: sha1WithRSAEncryption

Non md5WithRSAEncryption.
Questo, temo, si possa ottenere solo importando il certificato di una CA esterna. O hackerando il file di configurazione della CA interna.
Top
Profilo Invia messaggio privato
LucaZeta



Registrato: 10/12/08 18:49
Messaggi: 93

MessaggioInviato: Dom Giu 10, 2012 11:14 am    Oggetto: Rispondi citando

NdK ha scritto:
O hackerando il file di configurazione della CA interna.
Fortunatamente quei certificati non si "hackerano" facilmente ... xD
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mer Giu 13, 2012 10:02 am    Oggetto: Rispondi citando

Nel senso che intendo io, è banale. Visto che hai root access alla CA, semplicemente cambi "default_md = md5" con "default_md = sha1" in /Database/etc/ssl/openssl.cnf .
Ovviamente questo impatterà solo i nuovi certificati.
Top
Profilo Invia messaggio privato
LucaZeta



Registrato: 10/12/08 18:49
Messaggi: 93

MessaggioInviato: Mer Giu 13, 2012 4:41 pm    Oggetto: Rispondi citando

NdK ha scritto:
Visto che hai root access alla CA, semplicemente cambi "default_md = md5" con "default_md = sha1" in /Database/etc/ssl/openssl.cnf .
Ovviamente questo impatterà solo i nuovi certificati.
Magari fosse così semplice: sarebbe un ottima soluzione.

Ci hai provato o lo dici come una ipotesi che tu consideri ragionevole ?
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Gio Giu 14, 2012 11:34 am    Oggetto: Rispondi citando

Ho provato reinizializzando la root CA, ed effettivamente il certificato viene generato correttamente e la modifica non viene sovrascritta (ci speravo, essendo in /Database).
Top
Profilo Invia messaggio privato
LucaZeta



Registrato: 10/12/08 18:49
Messaggi: 93

MessaggioInviato: Dom Giu 17, 2012 8:52 am    Oggetto: Risolto Rispondi citando

Very Happy Molto, molto bene NdK,

direi a questo punto che hai trovato la soluzione:

sostituendo "sha1" al valore "md5" di default_md in /Database/etc/ssl/openssl.cnf
resettando la CA tramite X.509 CA -> Setup -> Generate

Avremo inizializzato una nuova CA con algoritmo di cifratura più sicuro.
Ovviamente gli impatti del reset della CA dipenderanno dall'uso che è stato fatto della stessa e dovranno essere valutati caso per caso.

Dopo il necessario Reboot, ZS comincerà ad utilizzare il suo certificato con la nuova codifica sha1 e conseguentemente eventuali messaggi di warning precedentemente sperimentati non saranno più visualizzati.

Suggerisco a Fulvio di adottare questa nuova configurazione nei successivi rilasci di ZS, anche se in caso di update da una precedente configurazione l'utente dovrà comunque effettuare manualmente il reset della CA.

Ringrazio NdK per la soluzione fornita e invito chi dovesse ripetere la procedura a lasciare qui il suo feedback.
Top
Profilo Invia messaggio privato
simonspt



Registrato: 14/05/12 08:40
Messaggi: 14

MessaggioInviato: Ven Giu 29, 2012 8:45 am    Oggetto: Rispondi citando

salve a tutti.. ho avuto anche io lo stesso vostro problema.. ultimamente i certificati non venivano più accettati dal browser..

ho apportato le modifiche elencate in questo thread e tutto ha ricominciato a funzionare correttamente...

ho notato che la modifica al file openssl.cnf non è permanente a causa del filesystem che viene ricaricato in ram ad ogni avvio..

per riavere la config ssl con sha1 o altri algoritmi ho aggiunto questa riga negli script di post boot di cron.

Codice:
sed -i 's/md5/sha256/g' /etc/ssl/openssl.cnf


in pratica apre il file openssl.cnf e sostituisce ogni ricorrenza di md5 (ce n'è solo una) con sha256 oppure quello che volete...

adesso ad ogni avvio, se devo ricreare qualche certificato mi viene automaticamente generato con algoritmo sha256 e non più md5!

spero di esservi stato utile!!
Smile
Top
Profilo Invia messaggio privato
LucaZeta



Registrato: 10/12/08 18:49
Messaggi: 93

MessaggioInviato: Dom Ago 12, 2012 9:50 pm    Oggetto: Rispondi citando

Ciao simonspt, ho letto il tuo commento, e deduco che esegui il boot da LIVE CD. Con bootstrap da SD o HD non si verifica quello che scrivi e la modifica risulta permanente senza bisogno di ulteriori modifiche.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Ago 13, 2012 5:20 am    Oggetto: Rispondi citando

L'aggiornamento alla 2.0.RC1 risolve questo problema derivato dall'hash MD5. Ora è SHA1 per default. Chiaramente se si utilizza un profilo proveniente da una vecchia release, bisogna rigenerare i certificati, meglio ancora l'intera CA.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Ago 13, 2012 8:16 am    Oggetto: Rispondi citando

Purtroppo manca ancora la possibilità di utilizzare un lettore di smart card con la CA interna... Ma per fare una cosa fatta benino servirebbe anche qualche modifica all'interfaccia (per gestire il login alla card -- ma potrebbe anche servire "semplicemente" per inserire la password per sbloccare la chiave della CA, che così almeno non rimarrebbe in chiaro)...
Top
Profilo Invia messaggio privato
LucaZeta



Registrato: 10/12/08 18:49
Messaggi: 93

MessaggioInviato: Lun Ago 13, 2012 10:18 am    Oggetto: Rispondi citando

fulvio ha scritto:
L'aggiornamento alla 2.0.RC1 risolve questo problema

Ottima notizia, grazie ancora quindi, Fulvio.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Vai a Precedente  1, 2
Pagina 2 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it