LINUX.ORG.RU
решено ФорумAdmin

Несколько версий OpenSSL в системе или как разрешить weak DH 1024 бита

 , , ,


0

2

Вопрос по сабжу, дистрибутив «свежая» CentOS 8, curl подключается к клиенту у которого Диффи-Хелман 1024 бита и ругается на короткий ключ. Вопрос, возможно ли по-человечески установить 2 версии OpenSSL в систему, не компилируя из сорцов с последующим make install?

Пока отписали суппорту сервиса, чтобы поправили у себя, я все-таки думаю над возможными решениями, если не поправят.

  • Ставить версию openssl поменьше
  • Каким-то образом заставить эту версию openssl использовать слабый DH (пересобрать)?

Что скажете?

★★★★★

Если вам нужен только curl, можете скомпилировать его статически, со статическим openssl, который вы соберете подходящими вам настройками. Это самый простой вариант. curl при этом устанавливать (выполнять make install) не нужно.

ValdikSS ★★★★★ ()
Ответ на: комментарий от ValdikSS

Да, я уже думал об этом.

Спасибо, попробую.

Twissel ★★★★★ ()
Ответ на: комментарий от ValdikSS

Только я не вкурил как собрать libcurl-minimal ?

Там в центоси какая-то непонятка с libmetalink-devel исходников под последний бинарный билд я не нашел...

Twissel ★★★★★ ()
Ответ на: комментарий от ValdikSS
configure: error: /etc/openssl is a bad --with-ssl prefix!

И так независимо от того, какой каталог используется. В каталоге у меня лежат исходники openssl

Twissel ★★★★★ ()
Ответ на: комментарий от ValdikSS

Повышать номер билда это норма? ))

Т.е. значение переменной Release.

Twissel ★★★★★ ()
Последнее исправление: Twissel (всего исправлений: 2)

Чтобы слинковать openssl статически достаточно опций

./configure --disable-shared --enable-static ?

Twissel ★★★★★ ()
Последнее исправление: Twissel (всего исправлений: 1)
Ответ на: комментарий от ValdikSS

И все равно не выходит каменный цветок, не осиливаю… даже при статической линковке openssl младшей версии и curl (с опциями выше) все равно подгружается системный openssl…

Twissel ★★★★★ ()

Собрал

Неа, все-таки

--with-ssl=path

Собирал некошерно: make install от отдельного юзера в префикс его хомяка, но пока пусть будет так.

Twissel ★★★★★ ()

Тот самый редкий случай, когда пригодился опыт компиляния LFS.

Twissel ★★★★★ ()
Ответ на: комментарий от ValdikSS

Кстати, а как можно тем же openssl из консольки увидеть длину DH-ключа?

Twissel ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.