gnutls: peer's certificate is NOT trusted

У меня на 14.2 была проблема с mpop и сертификатами. Пересобрал с openssl вместо gnutls и всё заработало. Не похоже, что weechat можно собрать с openssl, но может gnutls можно обновить (но от него может зависеть что-то вроде gpg; так что может стоит собрать новую версию статически с weechat).

Неужели таки проблема непременно в софте? Я думал мне нужно скачать|создать|нотариально_заверить какие-то файлы сертификатов… Еще вариант думал, что кровавая перехватывает/подделывает сертификаты криворуко. Слыхал от знающих людей, что в этой стране западные IT дельцы отказываются работать, потому что поголовно все сертификаты подделываются.

Но так или иначе, в позапрошлом, кажется, году, я впервые увидел в weechat упоминание о TLS. Я кажется справился в тот раз, удалось подключитья. Вроде что-то скачивал или обновлял… Помнится только стены с обоями еще на сайт какой-то вроде заходил, что-то там шевелил.

Но то гугление по этой теме было такой долгой и острой болью, что памятуя о ней – и не помня ни рожна что же я тогда делал – я сразу обратился к обществу. Может кто недавно решал такое, и после того не имел запоев, так что сможет припомнить что делать, или в какую сторону рыть. V_v

Короче, публике спасибо за ауру сочувствия, которая дает +50 к гуглению и +50 к методу тыка. А потомкам которые непременно нагуглят этот мой глупый вопрос сообщаю:

Я просто пересоздал (/server del и /server add и вот это все) соединение, и все заработало. Думаю дело было не в бобине в неактуальных данных адреса/порта/версии_протокола ♡/желаемого\♡ сервера.

..а так же завещаю почитать вот это

UPD Нет, все оказалось еще смешнее. В этот раз я добавлял /server add freenode chat.freenode.net 6697 - замечу что порт указан для SSL/TLS, но ключ -ssl забыт. И теперь имеем irc.server.freenode.ssl = null -> off однако подключены как будто бы к 6697, который согласно мото является SSL/TLS

Я ничего не понял, но все работает. Может они уже отказались от TLS, и согласны на ничью? Может быть, таки – судя по тому, что некогда буйные каналы опустели.

что должен знать о TLS сисадмин локалхоста

ниче не трогай, смотри документацию дистрибутива, при выкладывании логов включай отладку в соответствующей TLS-библиотеке

включай отладку в соответствующей TLS-библиотеке

Просто ради любопытства 0_о : а как это делается?

ниче не трогай,

Да я по ходу не в состоянии V_v на момент: ручонки коротковаты. Просто хотел знать чего оно от меня хочет, в общих чертах. По случаю почитал немножко, поковырял weechat, срубил немножко экспы. Хотя все оказалось в практическом итоге бесполезно, спас лишь бубен и случайность: просто, видимо, дело в том, что когда-то сервер внезапно потребовал TLS, и я забодался его включать. А теперь они, кажется, от шифрования отказались: видимо не я один забодался. И сертификаты протухли. А настройки weechat остались позапрошлогодние, вот и вся история.

а как это делается?

GNUTLS_DEBUG_LEVEL=9, например

сертификаты протухли

ничоси выжженное поле осталось от фриноды

например

Спасибо.

выжженное поле осталось от фриноды

Не-не-не, не надо к волокордину тянуться. Я наверное неправильно понял ситуацию и слишком драматичное выражение ни к месту употребил. На даты обратил внимание, там все хорошо. Просто интуитивно показалось, что если сервер отказался от шифрования, то наверное сертификаты неактуальны стали. Так что ли.

Факт, что мне не приглючилось: сервер действительно нагибал к шифрованию. Сам бы я добровольно на это не пошел. А сейчас с ключем -ssl просто не подключается, зато без него – охотно. Что думать? Может weechat мой устарел, и это каким-то образом скзалось?

Не-не-не, не надо к волокордину тянуться.

А кому ее жалко после всего, что случилось?

Что думать?

Что если бы протухшие сертификаты или еще что-то в таком роде незаметно переключало бы на подключение без шифрования, мир был бы еще хуже и безумнее чем сейчас, хотя казалось бы как.

Ну и что в freenode какой-то бардак? Потому что ты коннектишься на chat.freenode.net, а тебе c вероятностью 1/3 отвечает сервер с сертификатом на CN=sunshine.freenode.net?

Потому что ты коннектишься на chat.freenode.net, а тебе c вероятностью 1/3 отвечает сервер с сертификатом на CN=sunshine.freenode.net?

Спасибо, обратил внимание и пробовал sunshine.freenode.net Результат тот же.

Я даже не знаю, оставить топик как решенную тему (ведь я таки подключился) или как нерешенную? – Ведь таки TLS не работает.

Пусть будет нерешенная. Пусть кворум соберется, обкашляет, в чем здесь полтергейст; из научно-спортивного интереса, например, да и ради потомков, чтобы дедами гордились ^_^ если сами не состоятся.

gnutls можно обновить

Мда, с этого мне и стоило начинать. Обновил таки. Попытался пересобрать weechat, вот что сыплет

Кажется ему какой-то либы нехватает? Догадываюсь, LIBP11_KIT_1.0 намекает что мне нужен что-то вродеlibp11-kit-1.0 а у меня из похожего только libp11-0.4.9-x86_64-1_SBo и ничего новее ни в SBo репах ни pkgs.org нету

В общем, откатил gnutls пересобрал weechat обратно. Главное мой фринод и либера открываются, хоть и без TLS. Но спортивный интерес заполучить TLS одолевает. Хотет добиться.

А может попытаться этот gnutls из сырцов собрать по месту, с каким есть libp11?

так что может стоит собрать новую версию статически с weechat

Вот и пришло время, я таки узнаю что такое «статическая сборка». ^_^ Подскажи, пожалуйста, с чего начать просвещение? – А то гугл слишком много нерелевантного выбрасыват.

собрать новую версию статически с weechat.

Погуглил. Припомнил, что видал однажды странные сырки, с некоей подозрительной иерархией.

В голове следующая картина: скачиваю сырки weechat, где-то рядом втыкаем сырки gnutls, так чтобы компелятор мог хавать и то и это.. Куда-то втыкаем опцию -static. Вот теперь бы разобраться что и куда, желательно на примере сырого продукта, включающего статически либу.

Как пример можно глянуть тут. Там ncurses передаётся --without-shared, а потом на эту сборку ссылается следующий вызов configure с помощью --with-curses. Но да, зависимости могут помешать собрать. Может проще подождать Slackware 15 с более новым софтом.