|
Документ взят из кэша поисковой машины. Адрес
оригинального документа
: http://theory.sinp.msu.ru/pipermail/ru-ngi/2014q3/001377.html
Дата изменения: Tue Jul 1 08:04:16 2014 Дата индексирования: Sun Apr 10 17:59:06 2016 Кодировка: |
Добрый день еще раз.
Нет, не так. На сайте МИФИ команда выдает
sha1WithRSAEncryption
для всех хэш файлов - как для тех, которые обновляются, так и для "плохих",
на которые
ругается fetch-crl. При этом для некоторых "плохих" СА файла <hash>.r0
просто не существует,
а есть только <hash>.0, который есть линк на соответствующий .pem
А вот на сайте ФИАН тоже выдается sha1WithRSAEncryption для большинства хэш
файлов,
но sha256WithRSAEncryption или sha512WithRSAEncryption - как раз для тех
СА, на которые
ругается fetch-crl в МИФИ.
Всего наилучшего,
В.Тихомиров.
30 июня 2014 г., 14:26 пользователь Eygene Ryabinkin <rea at grid.kiae.ru>
написал:
> Mon, Jun 30, 2014 at 01:25:17PM +0400, Vladimir Tikhomirov wrote:
> > openssl разные: сервер МИФИ застрял в SLC4, там openssl-0.9.7a-43.20.el4
>
> Понятно. Есть мнение, что все ваши CRL, которые не видит сайт на
> SLC4, выданы CA, которые используют SHA256 в качестве алгоритма
> хеширования. Если вам не сложно, для всех CRL, которые плохие
> на вашем сайте с SLC4, сделайте
> {{{
> openssl crl -in <HASH>.r0 -noout -text | grep 'Signature Algorithm' | awk
> '{print $3;}' | sort -u
> }}}
> если я прав, то ничего кроме sha256WithRSAEncryption выводиться
> не должно.
> --
> Eygene Ryabinkin, National Research Centre "Kurchatov Institute"
>
> Always code as if the guy who ends up maintaining your code will be
> a violent psychopath who knows where you live.
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://theory.sinp.msu.ru/pipermail/ru-ngi/attachments/20140701/e1169156/attachment.html>