検索
検索

apt証明書チェーンは安全でないアルゴリズムを使用しています

debugcn 投稿 Dev
1
BusinessTux

UbuntuおよびDebianパッケージのローカルミラーをホストします。

root@apt-mirror:~# dpkg -l | grep mirror
ii  apt-mirror                            0.5.4-1                                         all          APT sources mirroring tool

ミラーリングとアクセスはSSLなしで正常に機能します。

root@db2:~# cat /etc/apt/sources.list.d/custom.apt-mirror.ubuntu.list
deb http://apt-mirror.custom.de/de.archive.ubuntu.com/ubuntu bionic main universe
deb http://apt-mirror.custom.de/de.archive.ubuntu.com/ubuntu bionic-security main universe
deb http://apt-mirror.custom.de/de.archive.ubuntu.com/ubuntu bionic-updates main universe

しかし、https経由でアクセスを使用したい場合は、次のエラーメッセージが表示されます

OK:1 http://apt-mirror.custom.de/de.archive.ubuntu.com/ubuntu bionic-security InRelease
Ign:2 https://apt-mirror.custom.de/de.archive.ubuntu.com/ubuntu bionic InRelease
OK:3 http://apt-mirror.custom.de/de.archive.ubuntu.com/ubuntu bionic-updates InRelease
OK:4 http://apt-mirror.custom.de/repos.influxdata.com/ubuntu bionic InRelease
Fehl:5 https://apt-mirror.custom.de/de.archive.ubuntu.com/ubuntu bionic Release
  Certificate verification failed: The certificate is NOT trusted. The certificate chain uses insecure algorithm.  Could not handshake: Error in the certificate verification. [IP: XXX.XXX.XXX.XXX 443]
Paketlisten werden gelesen... Fertig
E: Das Depot »https://apt-mirror.custom.de/de.archive.ubuntu.com/ubuntu bionic Release« enthält keine Release-Datei mehr.
N: Eine Aktualisierung von solch einem Depot kann nicht auf eine sichere Art durchgeführt werden, daher ist es standardmäßig deaktiviert.
N: Weitere Details zur Erzeugung von Paketdepots sowie zu deren Benutzerkonfiguration finden Sie in der Handbuchseite apt-secure(8).

チェーン内のすべての証明書はホストで利用できるため、opensslを使用したテストは正常に実行されます。

root@db2:~# openssl s_client -showcerts -connect apt-mirror.custom.de:443
CONNECTED(00000005)
depth=3 C = DE, O = CUSTOM, CN = CUSTOM-Root CA
verify return:1
depth=2 C = DE, O = CUSTOM, CN = CUSTOM-Policy CA Intern
verify return:1
depth=1 C = DE, O = CUSTOM, CN = CUSTOM-Server CA Intern
verify return:1
depth=0 C = DE, ST = NRW, L = Bonn, O = CUSTOM, OU = Betrieb, CN = apt-mirror.custom.de
verify return:1
---
Certificate chain
 0 s:C = DE, ST = NRW, L = Bonn, O = CUSTOM, OU = Betrieb, CN = apt-mirror.custom.de
   i:C = DE, O = CUSTOM, CN = CUSTOM-Server CA Intern
-----BEGIN CERTIFICATE-----
MIIGCjCCA/KgAwIBAgITMwAAAX9YNM4nCd6z0QACAAABfzANBgkqhkiG9w0BAQsF
ADA8MQswCQYDVQQGEwJERTENMAsGA1UEChMEQkdIVzEeMBwGA1UEAxMVQkdIVy1T
ZXJ2ZXIgQ0EgSW50ZXJuMB4XDTE4MTAwOTA3MzgxNVoXDTIwMTAwODA3MzgxNVow
#############################
lRV91hVW9bj4KsbyC4FGfK8+fgLPwlxBD+jwje43p9ZPY9WTxwcPFtIbT3fzxygX
/wmwQRRtg3aoICE61guje3URoP/qt+KSjFBmJ6cOGJne/rVXZ5etHHfSNfNqfJR4
ZAxfVfDN70m7SjYieB0DsJfbhYFqf8uaEQvkcMPr/vVXowDrjMTRBl+1CtM+q3G5
KzZm9qKKlZjWbAeuQ8o5myeu+E6tblJTQioz1jxlcSdWG0DjcjcDcPBFDB4/Qblb
KqPiEsGU+qRiwXqNjEWgSdUenOo4PlVVNUf+CsbbsoOdFV9qfG2G/ntXXbmoSPOZ
ZWv/8tDYfV+BCYVklcw=
-----END CERTIFICATE-----
 1 s:C = DE, O = CUSTOM, CN = CUSTOM-Server CA Intern
   i:C = DE, O = CUSTOM, CN = CUSTOM-Policy CA Intern
-----BEGIN CERTIFICATE-----
MIIGdDCCBFygAwIBAgITaQAAABQg6MjMFAQ5mAAAAAAAFDANBgkqhkiG9w0BAQsF
ADA8MQswCQYDVQQGEwJERTENMAsGA1UEChMEQkdIVzEeMBwGA1UEAxMVQkdIVy1Q
b2xpY3kgQ0EgSW50ZXJuMB4XDTE4MDUyMjEyNDAwOVoXDTIzMDUyMjEyNTAwOVow
PDELMAkGA1UEBhMCREUxDTALBgNVBAoTBEJHSFcxHjAcBgNVBAMTFUJHSFctU2Vy
dmVyIENBIEludGVybjCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoCggIBAMtO
#############################
EkbVV9UkXWRosy8ENxfcMwynd7xQoTzTywYUazNaX9NcRPvwZZ4NfmP9Mxqru7Hj
PofizUDnpKyp521brf9b7d7tjM4cYiS1beSiraOuW+9MBsf6pnuYpORfKvCa3wEP
fNpjXPkpCU30xJadqMGR1xT0fehd0vJpXsdixcNJEDBMY+cKeGDpaYcTY1BmtUtZ
2YIXQv8BGZP6YsWJpX9odjW9I7/WS74b
-----END CERTIFICATE-----
 2 s:C = DE, O = CUSTOM, CN = CUSTOM-Policy CA Intern
   i:C = DE, O = CUSTOM, CN = CUSTOM-Root CA
-----BEGIN CERTIFICATE-----
MIIGCTCCA/GgAwIBAgIKYUYc4wAAAAAAAzANBgkqhkiG9w0BAQUFADAzMQswCQYD
VQQGEwJERTENMAsGA1UEChMEQkdIVzEVMBMGA1UEAxMMQkdIVy1Sb290IENBMB4X
DTEyMDYyNjA5MzExOVoXDTIzMDYyNjA5NDExOVowPDELMAkGA1UEBhMCREUxDTAL
#############################
s/oRVYoW20m5bN26B0jsmVA41HPFH/xfRzciRy8xi0xYoS5QDBSMEFBdloCcAdlR
u77otTQ45MhW7iJ7qefJhlGixnaYaNe8my0rKFEZdT+So46WsLjYv7iE11Dp4tbJ
abDDRyYLQJYbGBoJdeEY30RJ7LFGpNlu6Mhj7puZza58uG/2VRs/olRbo9jCuYnc
/EeOmnBXGB1caha+og==
-----END CERTIFICATE-----
 3 s:C = DE, O = CUSTOM, CN = CUSTOM-Root CA
   i:C = DE, O = CUSTOM, CN = CUSTOM-Root CA
-----BEGIN CERTIFICATE-----
MIIF7jCCA9agAwIBAgIQLjBY331L64pF+SwDb+wecDANBgkqhkiG9w0BAQUFADAz
MQswCQYDVQQGEwJERTENMAsGA1UEChMEQkdIVzEVMBMGA1UEAxMMQkdIVy1Sb290
IENBMB4XDTEyMDYyNjA4MTE0MFoXDTMwMDYyNjA4MjEzMFowMzELMAkGA1UEBhMC
##############################
DhW0PUKRBt+5qqyaHsCQJXGYqRREy/bznBQF7xV3nlRXqSlx+BoSR0PLjwgChzIj
AQWUjA0N3RYhQmb+jyRm48xJJRBXi4fVFzkh8+qQz9neF91XPqp6pHs57A44gPEj
YmlM58+4n2G90LohJT/aythka9QBjIqyLomMl4CQ5F4H+Q==
-----END CERTIFICATE-----
---
Server certificate
subject=C = DE, ST = NRW, L = Bonn, O = CUSTOM, OU = Betrieb, CN = apt-mirror.custom.de

issuer=C = DE, O = CUSTOM, CN = CUSTOM-Server CA Intern

---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 6963 bytes and written 413 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 80BBED0A0E87437094755EB7D611B8FF8ED3D94837500D84CDBDBAA4282516E9
    Session-ID-ctx:
    Master-Key: 915E404C840EC1C7EF840B618444D6BDC92FF12A2620000292E120C0F9B97FD1846A9B1F8B7835C0A8E3CE5F5AD6400D
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - e9 b0 15 43 aa ac 79 99-18 1e fb 60 03 5a 7a d5   ...C..y....`.Zz.
    0010 - 27 20 e2 7a 87 de ea fe-0a 32 c6 57 e3 95 09 f9   ' .z.....2.W....
    0020 - 8e dc 92 7f 80 1e 87 5f-af ad 63 70 ef e6 86 d0   ......._..cp....
    0030 - 12 f5 67 65 26 2c 4f 02-a0 a6 a1 a8 f0 53 eb c2   ..ge&,O......S..
    0040 - 2d 53 ba 95 13 50 b0 cb-a9 cf a4 4f fe b4 3c 24   -S...P.....O..<$
    0050 - 4d 46 41 f4 dd 83 b8 2f-a7 e9 01 c2 27 70 27 b8   MFA..../....'p'.
    0060 - 03 b8 20 8e 6e c1 e5 d9-30 1c 39 69 7d f7 f0 42   .. .n...0.9i}..B
    0070 - a3 39 b3 3b f2 ac fc 99-d9 75 95 d0 3e 0d d9 b4   .9.;.....u..>...
    0080 - dd c5 f0 f0 db 94 76 65-12 88 b1 00 4b 0b 88 f1   ......ve....K...
    0090 - 5e dd 4c cc 50 5d 43 f7-10 86 1e 42 ea 8f 4c b9   ^.L.P]C....B..L.
    00a0 - 30 5e b9 ec 83 78 c9 35-d7 00 9d 44 7a a2 07 be   0^...x.5...Dz...
    00b0 - 53 57 78 43 b4 dc 2c f7-76 bd e6 ac 45 f7 5b 36   SWxC..,.v...E.[6
    00c0 - 68 1a 07 f8 25 4e 4b 1e-f6 26 c8 89 3b 3a 38 1c   h...%NK..&..;:8.

    Start Time: 1580217557
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: yes
---

ここに書かれているように、検証をスキップしたくありません:apt-accept-an-invalid-certificate

なぜチェーンは安全でないアルゴリズムを使用していると言うのですか?

ありがとう

BusinessTux

リンクPKISolutionsは非常に便利でした。それを研究した後、私はポリシーCA証明書がsha1署名されていることを知りました。そして、それはチェーン内の安全でないアルゴリズムでした。ポリシーCAは昨年更新され、現在はsha256で署名されています。これで、チェーンは継続的にsha1なしになり、aptは証明書を受け入れます。

この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。

侵害の場合は、連絡してください[email protected]

編集
0

コメントを追加

0
サインイン

関連記事

分類Dev

ローカルの信頼できる証明書ストアにない証明書チェーンを使用して.NETにサインインするCMS

分類Dev

RS256アルゴリズムを使用してJWTのプライベート証明書とパブリック証明書を生成するにはどうすればよいですか?

分類Dev

OpenSSLを使用して、証明書(ただし、証明書チェーン全体ではない)に対してタイムスタンプトークンを検証します

分類Dev

BouncyCastle-TBS証明書の署名アルゴリズムが外部証明書と同じではない

分類Dev

どのように証明するか、高速マージソート不安定なアルゴリズムであることを示していますか?

分類Dev

imapsプロトコルを使用してメールサービスに接続します。証明書はアルゴリズムに準拠していません

分類Dev

openssl:秘密鍵、関連する公開証明書、およびルート証明書までの証明書チェーンを使用して.pemファイルを作成するにはどうすればよいですか?

分類Dev

error.sun.security.validator.validatorexception:証明書署名アルゴリズムが無効になっています

分類Dev

keytoolを使用して証明書チェーンを作成するにはどうすればよいですか?

分類Dev

ジェネリックを使用して汎用チャンクアルゴリズムを作成するにはどうすればよいですか?

分類Dev

rsa:2048を使用して作成されたSSL証明書は、SHA-2暗号化ハッシュアルゴリズムを使用しますか?

分類Dev

バージョン5Unixではどのチェックサムアルゴリズムが使用されていますか?

分類Dev

アスタリスクはTLS認証アルゴリズムSHA-1を使用したSIP認証をサポートしていますか?

分類Dev

iOS Depoyment:証明書をローカルにインストールして、異なる開発チームの下でアプリを配布する方法は?

分類Dev

ユーザーの証明書にロールを追加してチェーンコードで使用するにはどうすればよいですか?

分類Dev

macOS Gitクライアントはユーザーのキーチェーンに保存されている証明書を使用できますか?

分類Dev

このアルゴリズムが仕様に準拠しないのはなぜですか?その正しさを証明しようとする方法は?

分類Dev

Firefoxは、証明書チェーンは良好であるにもかかわらず、証明書は信頼できないと言っています

分類Dev

Nodejsを使用して完全な証明書チェーンに関する情報を取得するにはどうすればよいですか?

分類Dev

提供された証明書は有効な自己署名ではありません。有効な自己署名証明書または証明書チェーンのいずれかを提供してください

分類Dev

カウントソートアルゴリズムでハッシュテーブル/辞書を使用できないのはなぜですか?

分類Dev

X509証明書の完全な証明書チェーンをプログラムで取得するにはどうすればよいですか?

分類Dev

なぜ私のアルゴリズムはリンクリストの最後の要素をチェックしないのですか?

分類Dev

openssl または別のコマンドを使用して、PEM 証明書ファイル (完全な証明書チェーン) 内のすべての証明書を表示します。

分類Dev

sha1ダイジェストを使用してカール証明書ピンニングテストが機能しないのはなぜですか?

分類Dev

ホーア論理を使用して、このバイナリ検索アルゴリズムが正しいことをどのように証明できますか?

分類Dev

ゲーム「CircletheDot」ではどのような検索アルゴリズムが使用されていますか?

分類Dev

nginx入力-完全な中間チェーンCA証明書を使用したSSL証明書の生成中に予期しないエラーが発生しました:証明書が無効です

分類Dev

このアルゴリズムはDPを使用していますか?

Related 関連記事

  1. 1

    ローカルの信頼できる証明書ストアにない証明書チェーンを使用して.NETにサインインするCMS

  2. 2

    RS256アルゴリズムを使用してJWTのプライベート証明書とパブリック証明書を生成するにはどうすればよいですか?

  3. 3

    OpenSSLを使用して、証明書(ただし、証明書チェーン全体ではない)に対してタイムスタンプトークンを検証します

  4. 4

    BouncyCastle-TBS証明書の署名アルゴリズムが外部証明書と同じではない

  5. 5

    どのように証明するか、高速マージソート不安定なアルゴリズムであることを示していますか?

  6. 6

    imapsプロトコルを使用してメールサービスに接続します。証明書はアルゴリズムに準拠していません

  7. 7

    openssl:秘密鍵、関連する公開証明書、およびルート証明書までの証明書チェーンを使用して.pemファイルを作成するにはどうすればよいですか?

  8. 8

    error.sun.security.validator.validatorexception:証明書署名アルゴリズムが無効になっています

  9. 9

    keytoolを使用して証明書チェーンを作成するにはどうすればよいですか?

  10. 10

    ジェネリックを使用して汎用チャンクアルゴリズムを作成するにはどうすればよいですか?

  11. 11

    rsa:2048を使用して作成されたSSL証明書は、SHA-2暗号化ハッシュアルゴリズムを使用しますか?

  12. 12

    バージョン5Unixではどのチェックサムアルゴリズムが使用されていますか?

  13. 13

    アスタリスクはTLS認証アルゴリズムSHA-1を使用したSIP認証をサポートしていますか?

  14. 14

    iOS Depoyment:証明書をローカルにインストールして、異なる開発チームの下でアプリを配布する方法は?

  15. 15

    ユーザーの証明書にロールを追加してチェーンコードで使用するにはどうすればよいですか?

  16. 16

    macOS Gitクライアントはユーザーのキーチェーンに保存されている証明書を使用できますか?

  17. 17

    このアルゴリズムが仕様に準拠しないのはなぜですか?その正しさを証明しようとする方法は?

  18. 18

    Firefoxは、証明書チェーンは良好であるにもかかわらず、証明書は信頼できないと言っています

  19. 19

    Nodejsを使用して完全な証明書チェーンに関する情報を取得するにはどうすればよいですか?

  20. 20

    提供された証明書は有効な自己署名ではありません。有効な自己署名証明書または証明書チェーンのいずれかを提供してください

  21. 21

    カウントソートアルゴリズムでハッシュテーブル/辞書を使用できないのはなぜですか?

  22. 22

    X509証明書の完全な証明書チェーンをプログラムで取得するにはどうすればよいですか?

  23. 23

    なぜ私のアルゴリズムはリンクリストの最後の要素をチェックしないのですか?

  24. 24

    openssl または別のコマンドを使用して、PEM 証明書ファイル (完全な証明書チェーン) 内のすべての証明書を表示します。

  25. 25

    sha1ダイジェストを使用してカール証明書ピンニングテストが機能しないのはなぜですか?

  26. 26

    ホーア論理を使用して、このバイナリ検索アルゴリズムが正しいことをどのように証明できますか?

  27. 27

    ゲーム「CircletheDot」ではどのような検索アルゴリズムが使用されていますか?

  28. 28

    nginx入力-完全な中間チェーンCA証明書を使用したSSL証明書の生成中に予期しないエラーが発生しました:証明書が無効です

  29. 29

    このアルゴリズムはDPを使用していますか?

ホットタグ

アーカイブ