Linux am Dienstag – Programm für den 11.6.2024

Ja, auch wenn ich im Blog mal vergesse, Linux am Dienstag gibt es jeden Dienstag. Diesmal dabei „OpenSSL“.

Linux am Dienstag – Programm für den 11.6.2024

u.a. im Programm am 11.6.2024, ab 19 Uhr:

  • Fedora 39 – OpenSSL kann kein LEGACY mehr
  • Linux – OpenSSL Configs
  • Sicherheit – ARM warnt for 0-Day im GPU Treiber
  • CyberCrime – Wie man einen Kriminellenboss enttarnt
  • Sicherheit – min. 50.000 Schlösser mit festen Zugangsdaten

und andere IT-Newsbeiträge aus aller Welt. Wie jede Woche per Videokonferenz auf https://meet.cloud-foo.de/Linux .

Hinweis: Die bisherigen Vorträge findet man unter https://linux-am-dienstag.de/archiv/ .

OpenSSL in Fedora 39 kann keine Legacy-Policy mehr

Allem Anschein nach, wurde der Support für TLSv1 und TLSv1_1 in der aktuellen OpenSSL Version für Fedora 39 hard entfernt, denn entgegen der LEGACY policy von Fedora, funktioniert TLS1 gar nicht mehr.

OpenSSL in Fedora 39 kann keine Legacy-Policy mehr

Es gibt so Dinge, die man durch Update bereinigen kann, aber oft passiert leider auch das Gegenteil, man handelt sich Legacy Probleme ein. So geschehen durch ein Server-Update auf Fedora 39.

Der spezielle Server wird von Clienten kontaktiert, die aus Gründen mit TLS1 um die Ecke kamen. Leider mag Fedora das seit 33 gar nicht mehr und das ist auch gut so. Bislang half es, einfach die Crypto-Policy auf Fedora 32 zu stellen:

update-crypto-policies –set DEFAULT:FEDORA32

Die Hardcore version davon ist dann der LEGACY mode :

update-crypto-policies –set LEGACY

der wirklich uralte Sachen aktiviert. Bislang. Seit Fedora 39 kann man soviel Legacysupport aktivieren wie man will, es nutzt nichts mehr, TLS 1 und 1.1 funktionieren nicht mehr.

Dies hatte eine wünschenswerte Folge, denn nun war jemand gezwungen seine Legacy-Clienten zu Updaten, was schon seit Jahren hätte gemacht werden sollen 😉

Jetzt konnten wir endlich den Support auf DEFAULT stellen \o/

update-crypto-policies –set DEFAULT

Merke: Es ist nie gut eine Rückzugsmöglichkeit im Kryptobereich zu haben, weil dann die Updates nicht gemacht werden mit „Wieso, geht doch noch.“ ;D