Hallo Rainer, hallo Liste! > ich kämpfe im Moment mit einem Problem, wo ich nicht weiß, wie ich es > lösen soll. > > Nachdem ich via Update-Funktion meinen Raspberry Pi upgedatet habe > (apt-get update && apt-get upgrade) wurden die SSL-Bibliotheken erneuert > .
Das ist ja erst einmal nichts schlimmes, sich von unsicheren Implemetierungen von Cryptostandards zu verabschieden ;) > Seitdem habe ich das Problem, dass ich via curl nicht mehr auf meine > Router-Status-Seite zugreifen kann (Speedport W723V Typ B). > > Die Fehlermeldung lautet: > curl: (35) error:14082174:SSL > routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small > > Die Möglichkeit, das Zertifikat zu erneuern (welches die Ursache für > den Fehler ist), fällt offensichtlich aus. Gibt es eine Möglichkeit, > entweder curl (oder SSL) einen Parameter mitzugeben, dass er trotzdem > Zertifikate mit zu kleinem Diffie-Hellman Schlüssel ausliest? Mmh, die Logjam Attacke auf kurze Diffie Hellmann Keys scheint ziemlich unlustig zu sein: https://weakdh.org/logjam.html "Our cryptanalysis consisted of performing a precomputation on the primes given in two popular sets of weak Diffie-Hellman parameters. After performing this computation, we are able to break any Diffie-Hellman key exchange using these primes in real time." Ist Dein Speedport auf diese Weise vom Internet erreichbar? Das würde mich ja an Deiner Stelle jetzt zu allererst interessieren ... > Habe das Problem temporär mit einem Downgrade der SSL-Bibliotheken > gelöst, das kann aber nicht Sinn der Sache sein. Anstelle Deine Produktivsysteme als Workaround downzugraden, könntest Du den Dienst, der via curl die Statusseite des Routers ausliest, in einen Linux Container oder eine virtuelle Maschine packen. Unter Raspbian muß man da wohl eine Menge zurechtfrickeln, um z.B. das bekannte Docker zum Arbeiten zu bekommen, aber unter der ARM Arch Linux Distro läuft das wohl out-of-the-box. > Danke für Eure Vorschläge und einen schönen Sonntag. Das war jetz nicht wirklich eine "Lösung", aber eine Anregung für einen schöneren Workaround. Grüßle, Jan > > Gruß > > Rainer > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v2.0.22 (GNU/Linux) > > iQEcBAEBAgAGBQJVj5lZAAoJEPk9uABuxpE803IH/3WxXUC6OjZNcnst4DB/IaZp > XXqMngY8xKooX8XlS7mN+dZ6yqIg0OFm4BKUAf+e3HVTbh57taxZh2mdPD01FgCh > AEWe8PWuyL9U1xndaR6bNy6gJo4ZbFtcI60JhT5VacV4vqFP+qiguA7RygAsNCie > IoOCCOfr7Fk3qQvBZsPRPN9po0n6QfhCYvZY54bF3BsjOHuLuv9rDxkECZ2/5z2P > EjJoRnvilqIyc7x6e9pBqYS/+TS1ZEL/ZDLzNCm6w1NAkWTy0hQSyOfo5uCF/jf7 > 0K9FLqJVjW2TDrFpJ+2YTfvXX1Sqtmi2cblyAQ3s6Iw/wC6CXX6JeI2oPsfbsD4= > =D1ha > -----END PGP SIGNATURE----- > _______________________________________________ > Trolug_trolug.de mailing list > trolug@trolug.de > https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de -- /"\ \ / ASCII Ribbon Campaign X against HTML email & vCards / \
signature.asc
Description: Digital signature
_______________________________________________ Trolug_trolug.de mailing list trolug@trolug.de https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de