LINUX.ORG.RU

gnutls: peer's certificate is NOT trusted

 , ,


0

1

weechat отказывается подключаться к freenode, требующему в последнее время TLS. Вот как оно выглядит в цвете. И вот как в тексте:

| irc: connecting to server chat.freenode.net/6697 (SSL)...
| gnutls: connected using 2048-bit Diffie-Hellman shared secret exchange
| gnutls: receiving 3 certificates
|  - certificate[1] info:
|    - subject `CN=sunshine.freenode.net', issuer `C=US,O=Let's Encrypt,CN=R3', RSA key 2048
| bits, signed using RSA-SHA256, activated `2021-11-03 23:29:03 UTC', expires `2022-02-01
| 23:29:02 UTC', SHA-1 fingerprint `465d91f6e8a3cb14874e6d87085c153300c0c76a'
|  - certificate[2] info:
|    - subject `C=US,O=Let's Encrypt,CN=R3', issuer `C=US,O=Internet Security Research
| Group,CN=ISRG Root X1', RSA key 2048 bits, signed using RSA-SHA256, activated `2020-09-04
| 00:00:00 UTC', expires `2025-09-15 16:00:00 UTC', SHA-1 fingerprint
| `a053375bfe84e8b748782c7cee15827a6af5a405'
|  - certificate[3] info:
|    - subject `C=US,O=Internet Security Research Group,CN=ISRG Root X1', issuer `O=Digital
| Signature Trust Co.,CN=DST Root CA X3', RSA key 4096 bits, signed using RSA-SHA256,
| activated `2021-01-20 19:14:03 UTC', expires `2024-09-30 18:14:03 UTC', SHA-1 fingerprint
| `933c6ddee95c9c41a40f9f50493d82be03ad87bf'
| gnutls: peer's certificate is NOT trusted
| irc: TLS handshake failed
| irc: error: Error in the certificate.

Между прочим, буду очень признателен за ссылки на талмуды по теме «Мокренькие сертификаты TLS и Дао сертификации для нубов очень занятых людей за пять минут без СМС и регистрации»

Ну или может быть здесь найдутся талантливые педагоги, которые донесут вкратце то, что должен знать о TLS сисадмин локалхоста под Slackware, если он пока не собирается писать софт с криптованием.

У меня на 14.2 была проблема с mpop и сертификатами. Пересобрал с openssl вместо gnutls и всё заработало. Не похоже, что weechat можно собрать с openssl, но может gnutls можно обновить (но от него может зависеть что-то вроде gpg; так что может стоит собрать новую версию статически с weechat).

xaizek ★★★★★
()
Ответ на: комментарий от xaizek

Неужели таки проблема непременно в софте? Я думал мне нужно скачать|создать|нотариально_заверить какие-то файлы сертификатов… Еще вариант думал, что кровавая перехватывает/подделывает сертификаты криворуко. Слыхал от знающих людей, что в этой стране западные IT дельцы отказываются работать, потому что поголовно все сертификаты подделываются.

Но так или иначе, в позапрошлом, кажется, году, я впервые увидел в weechat упоминание о TLS. Я кажется справился в тот раз, удалось подключитья. Вроде что-то скачивал или обновлял… Помнится только стены с обоями еще на сайт какой-то вроде заходил, что-то там шевелил.

Но то гугление по этой теме было такой долгой и острой болью, что памятуя о ней – и не помня ни рожна что же я тогда делал – я сразу обратился к обществу. Может кто недавно решал такое, и после того не имел запоев, так что сможет припомнить что делать, или в какую сторону рыть. V_v

Csandriel_x64
() автор топика
Последнее исправление: Csandriel_x64 (всего исправлений: 1)

Короче, публике спасибо за ауру сочувствия, которая дает +50 к гуглению и +50 к методу тыка. А потомкам которые непременно нагуглят этот мой глупый вопрос сообщаю:

Я просто пересоздал (/server del и /server add и вот это все) соединение, и все заработало. Думаю дело было не в бобине в неактуальных данных адреса/порта/версии_протокола ♡/желаемого\♡ сервера.

..а так же завещаю почитать вот это

Csandriel_x64
() автор топика
Последнее исправление: Csandriel_x64 (всего исправлений: 5)
Ответ на: комментарий от Csandriel_x64

UPD Нет, все оказалось еще смешнее. В этот раз я добавлял /server add freenode chat.freenode.net 6697 - замечу что порт указан для SSL/TLS, но ключ -ssl забыт. И теперь имеем irc.server.freenode.ssl = null -> off однако подключены как будто бы к 6697, который согласно мото является SSL/TLS

Я ничего не понял, но все работает. Может они уже отказались от TLS, и согласны на ничью? Может быть, таки – судя по тому, что некогда буйные каналы опустели.

Csandriel_x64
() автор топика
Последнее исправление: Csandriel_x64 (всего исправлений: 1)

что должен знать о TLS сисадмин локалхоста

ниче не трогай, смотри документацию дистрибутива, при выкладывании логов включай отладку в соответствующей TLS-библиотеке

t184256 ★★★★★
()
Ответ на: комментарий от t184256

включай отладку в соответствующей TLS-библиотеке

Просто ради любопытства 0_о : а как это делается?

ниче не трогай,

Да я по ходу не в состоянии V_v на момент: ручонки коротковаты. Просто хотел знать чего оно от меня хочет, в общих чертах. По случаю почитал немножко, поковырял weechat, срубил немножко экспы. Хотя все оказалось в практическом итоге бесполезно, спас лишь бубен и случайность: просто, видимо, дело в том, что когда-то сервер внезапно потребовал TLS, и я забодался его включать. А теперь они, кажется, от шифрования отказались: видимо не я один забодался. И сертификаты протухли. А настройки weechat остались позапрошлогодние, вот и вся история.

Csandriel_x64
() автор топика
Последнее исправление: Csandriel_x64 (всего исправлений: 1)
Ответ на: комментарий от t184256

например

Спасибо.

выжженное поле осталось от фриноды

Не-не-не, не надо к волокордину тянуться. Я наверное неправильно понял ситуацию и слишком драматичное выражение ни к месту употребил. На даты обратил внимание, там все хорошо. Просто интуитивно показалось, что если сервер отказался от шифрования, то наверное сертификаты неактуальны стали. Так что ли.

Факт, что мне не приглючилось: сервер действительно нагибал к шифрованию. Сам бы я добровольно на это не пошел. А сейчас с ключем -ssl просто не подключается, зато без него – охотно. Что думать? Может weechat мой устарел, и это каким-то образом скзалось?

Csandriel_x64
() автор топика
Последнее исправление: Csandriel_x64 (всего исправлений: 2)
Ответ на: комментарий от Csandriel_x64

Не-не-не, не надо к волокордину тянуться.

А кому ее жалко после всего, что случилось?

Что думать?

Что если бы протухшие сертификаты или еще что-то в таком роде незаметно переключало бы на подключение без шифрования, мир был бы еще хуже и безумнее чем сейчас, хотя казалось бы как.

Ну и что в freenode какой-то бардак? Потому что ты коннектишься на chat.freenode.net, а тебе c вероятностью 1/3 отвечает сервер с сертификатом на CN=sunshine.freenode.net?

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Потому что ты коннектишься на chat.freenode.net, а тебе c вероятностью 1/3 отвечает сервер с сертификатом на CN=sunshine.freenode.net?

Спасибо, обратил внимание и пробовал sunshine.freenode.net Результат тот же.

Я даже не знаю, оставить топик как решенную тему (ведь я таки подключился) или как нерешенную? – Ведь таки TLS не работает.

Пусть будет нерешенная. Пусть кворум соберется, обкашляет, в чем здесь полтергейст; из научно-спортивного интереса, например, да и ради потомков, чтобы дедами гордились ^_^ если сами не состоятся.

Csandriel_x64
() автор топика
Последнее исправление: Csandriel_x64 (всего исправлений: 4)
Ответ на: комментарий от xaizek

gnutls можно обновить

Мда, с этого мне и стоило начинать. Обновил таки. Попытался пересобрать weechat, вот что сыплет

Кажется ему какой-то либы нехватает? Догадываюсь, LIBP11_KIT_1.0 намекает что мне нужен что-то вродеlibp11-kit-1.0 а у меня из похожего только libp11-0.4.9-x86_64-1_SBo и ничего новее ни в SBo репах ни pkgs.org нету

В общем, откатил gnutls пересобрал weechat обратно. Главное мой фринод и либера открываются, хоть и без TLS. Но спортивный интерес заполучить TLS одолевает. Хотет добиться.

А может попытаться этот gnutls из сырцов собрать по месту, с каким есть libp11?

так что может стоит собрать новую версию статически с weechat

Вот и пришло время, я таки узнаю что такое «статическая сборка». ^_^ Подскажи, пожалуйста, с чего начать просвещение? – А то гугл слишком много нерелевантного выбрасыват.

Csandriel_x64
() автор топика
Ответ на: комментарий от xaizek

собрать новую версию статически с weechat.

Погуглил. Припомнил, что видал однажды странные сырки, с некоей подозрительной иерархией.

В голове следующая картина: скачиваю сырки weechat, где-то рядом втыкаем сырки gnutls, так чтобы компелятор мог хавать и то и это.. Куда-то втыкаем опцию -static. Вот теперь бы разобраться что и куда, желательно на примере сырого продукта, включающего статически либу.

Csandriel_x64
() автор топика
Последнее исправление: Csandriel_x64 (всего исправлений: 4)
Ответ на: комментарий от Csandriel_x64

Как пример можно глянуть тут. Там ncurses передаётся --without-shared, а потом на эту сборку ссылается следующий вызов configure с помощью --with-curses. Но да, зависимости могут помешать собрать. Может проще подождать Slackware 15 с более новым софтом.

xaizek ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.