Re: Epiphany e Midori non si connettono ai siti https

To: debian-italian@lists.debian.org
Subject: Re: Epiphany e Midori non si connettono ai siti https
From: Giuseppe Sacco <giuseppe@eppesuigoccas.homedns.org>
Date: Mon, 18 Jul 2016 15:05:31 +0200
Message-id: <[🔎] 1468847131.7347.23.camel@eppesuigoccas.homedns.org>
In-reply-to: <[🔎] 578CCAB9.2000609@fastwebnet.it>
References: <5770035C.9000407@fastwebnet.it> <eac45416-fd6f-6dbd-ab93-60e91f2334ae@gmail.com> <577425C1.2070507@fastwebnet.it> <60502498-a392-23a1-e835-21b9e14911fa@libero.it> <[🔎] 578CCAB9.2000609@fastwebnet.it>

Ciao Hugh,

Il giorno lun, 18/07/2016 alle 14.25 +0200, Hugh Hartmann ha scritto:
> Ciao Gabriele e
> un saluto "interrogativo" si propaga a tutti i partecipanti alla
> lista 
> ... :-)
[...]
> Credo che la curiosità e il desiderio di conoscenza siano insiti in
> ogni 
> essere umano, poi i ritmi frenetici di questo sistema disumano non 
> permettono di avere il tempo per poter considerare e sviluppare
> questi 
> aspetti, secondo me fondamentali. Ecco perchè mi piacerebbe conoscere
> i 
> motivi che stanno dietro ai problemi e, magari anche a risolverli o 
> ottenere qualche aiuto, consiglio per imparare così altre cose ancora
> ...

il problema è che gli algoritmi vengono sempre migliorati, oppure
vengono esclusi. Per questo motivo è importante avere la libreria
openssl sempre aggiornata. Un aggiornamento di questo tipo sarebbe
certo comodo, ma non è nella modalità di Debian: un nuovo algoritmo non
è un motivo valido per un aggiornamento della sicurezza Debian.

Oltre al fatto che le vecchie openssl non hanno nuovi algoritmi, c'è
anche il problema dell'utilizzo di questi algoritmi da parte dei
programmi. Ci sono programmi, come ad esempio apache, che richiedo
l'elenco degli algoritmi da supportare in un certo formato. Questa
configurazione viene letta da apache e poi convertita nel formato di
openssl, vale a dire che l'applicativo apache deve essere a conoscenza
dei vari algoritmi (e quindi andrebbe aggiornato anche lui).

In contemporanea si diffondono modalità operative che fanno in modo da
proteggere i siti web, disabilitando algoritmi poco sicuri. Aumentano a
visto d'occhi siti che propongono configurazioni precotte per server
web: https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/

A questo punto dovresti ricompilare la openssl nuova sulla debian
vecchia, gestendo tutte le dipendenze. Dovresti rifarlo ogni volta che
esce un aggiornamento di sicurezza, oppure una nuova debian. Poi ti può
capitare che alcuni programmi abbiamo la loro openssl collegata
staticamente anziché dinamicamente, oppure ti può capitare che alcuni
programmi non gestiscano le modifiche alla ABI di openssl.

Dopo questa lunga premessa, potresti provare a scaricare i sorgenti del
pacchetto debian openssl nuovo, installare il pacchetto "build-
essential" e i vari pacchetti di dipendenze di openssl e libssl1.0.0.
ricompilare quei pacchetti e installarli. Se sei fortunato te la cavi
con poco, altrimenti sarà più complesso.

Infine, riguardo la motivazione dell'esclusione dei vari algoritmi di
cifratura, puoi documentarti a partire dal link che ho riportato sopra.

Ciao,
Giuseppe

Reply to:

Follow-Ups:
- Re: Epiphany e Midori non si connettono ai siti https
  - From: Hugh Hartmann <hhartmann@fastwebnet.it>

References:
- Re: Epiphany e Midori non si connettono ai siti https
  - From: Hugh Hartmann <hhartmann@fastwebnet.it>

Prev by Date: Re: Epiphany e Midori non si connettono ai siti https
Next by Date: Re: Epiphany e Midori non si connettono ai siti https
Previous by thread: Re: Epiphany e Midori non si connettono ai siti https
Next by thread: Re: Epiphany e Midori non si connettono ai siti https
Index(es):
- Date
- Thread