xpt*_*xpt 5 linux debian https certificate ssl
$ curl -s https://goolge.ca | wc
0 0 0
$ curl -vs https://goolge.ca
. . .
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, bad certificate (554):
* SSL certificate problem: EE certificate key too weak
* Closing connection 0
$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 10 (buster)
Release: 10
Codename: buster
为什么会出现这个EE certificate key too weak问题?
我发现了一个类似的问题, https://serverfault.com/questions/1033354/how-to-diagnose-ca-certificate-too-weak-error-how-to-use-the-ca-cert-anyway
但那个是CA certificate key too weak,不知道是不是一样EE certificate key too weak。
小智 3
默认情况下,Debian 将 OpenSSL 配置为安全级别 2,它提供 112 位的安全性。这意味着,如果 TLS 连接中涉及的密钥之一(在本例中为服务器密钥(终端实体证书))提供的安全级别小于 112 位(通常是因为该证书是小于 2048 位的 RSA 密钥) ,那么就会被拒绝。
由于目前 112 位安全级别甚至低于推荐的 128 位最低安全级别,而该服务器甚至低于该级别,因此最好的办法是联系服务器管理员并要求他们生成新的 TLS 证书。有了这样一个不安全的证书,大公司或政府可能会通过一些努力破解密钥,从而欺骗连接。
如果您无法做到这一点,您可以使用 来降低安全级别curl --ciphers DEFAULT@SECLEVEL=1。请注意,通过这样做,您基本上接受了您的连接并不完全安全并且可能会被篡改。
| 归档时间: |
|
| 查看次数: |
24988 次 |
| 最近记录: |