Ciao Hugh, Il giorno lun, 18/07/2016 alle 14.25 +0200, Hugh Hartmann ha scritto: > Ciao Gabriele e > un saluto "interrogativo" si propaga a tutti i partecipanti alla > lista > ... :-) [...] > Credo che la curiosità e il desiderio di conoscenza siano insiti in > ogni > essere umano, poi i ritmi frenetici di questo sistema disumano non > permettono di avere il tempo per poter considerare e sviluppare > questi > aspetti, secondo me fondamentali. Ecco perchè mi piacerebbe conoscere > i > motivi che stanno dietro ai problemi e, magari anche a risolverli o > ottenere qualche aiuto, consiglio per imparare così altre cose ancora > ...
il problema è che gli algoritmi vengono sempre migliorati, oppure vengono esclusi. Per questo motivo è importante avere la libreria openssl sempre aggiornata. Un aggiornamento di questo tipo sarebbe certo comodo, ma non è nella modalità di Debian: un nuovo algoritmo non è un motivo valido per un aggiornamento della sicurezza Debian. Oltre al fatto che le vecchie openssl non hanno nuovi algoritmi, c'è anche il problema dell'utilizzo di questi algoritmi da parte dei programmi. Ci sono programmi, come ad esempio apache, che richiedo l'elenco degli algoritmi da supportare in un certo formato. Questa configurazione viene letta da apache e poi convertita nel formato di openssl, vale a dire che l'applicativo apache deve essere a conoscenza dei vari algoritmi (e quindi andrebbe aggiornato anche lui). In contemporanea si diffondono modalità operative che fanno in modo da proteggere i siti web, disabilitando algoritmi poco sicuri. Aumentano a visto d'occhi siti che propongono configurazioni precotte per server web: https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/ A questo punto dovresti ricompilare la openssl nuova sulla debian vecchia, gestendo tutte le dipendenze. Dovresti rifarlo ogni volta che esce un aggiornamento di sicurezza, oppure una nuova debian. Poi ti può capitare che alcuni programmi abbiamo la loro openssl collegata staticamente anziché dinamicamente, oppure ti può capitare che alcuni programmi non gestiscano le modifiche alla ABI di openssl. Dopo questa lunga premessa, potresti provare a scaricare i sorgenti del pacchetto debian openssl nuovo, installare il pacchetto "build- essential" e i vari pacchetti di dipendenze di openssl e libssl1.0.0. ricompilare quei pacchetti e installarli. Se sei fortunato te la cavi con poco, altrimenti sarà più complesso. Infine, riguardo la motivazione dell'esclusione dei vari algoritmi di cifratura, puoi documentarti a partire dal link che ho riportato sopra. Ciao, Giuseppe
