From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mail.ru; s=mail2; h=Content-Transfer-Encoding:Content-Type:In-Reply-To:MIME-Version:Date:Message-ID:From:References:To:Subject; bh=JOSqZRUx9ji1mrgtFtxnH01+dDaB2gjfpoioAARmpGI=; b=alIJCHUVx8RJmkd8tf2lhR6nJkzpB1cuzlaPNN1rRbodEKOIBKv6yr5N36p3vuSmLJ/xBUWfYKQBGkT5mTdf7V5SH8F/6KVeCeF+sLiHNQIsRvlwQNnDdkfLSijkn/XlWwyvIJGo0di6/jYsqdZ2eb/sOk5bis4+EqErZshyb5E=; To: sysadmins@lists.altlinux.org References: <40808878-0e05-c465-f9f5-cb28d0e0598d@mail.ru> <20190904073644.GA32096@lks.home> From: Vladimir Karpinsky Message-ID: <5e0e3e21-06db-7abe-22ff-e7ff13d73b27@mail.ru> Date: Wed, 4 Sep 2019 10:57:13 +0300 User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:52.0) Gecko/20100101 Thunderbird/52.9.1 MIME-Version: 1.0 In-Reply-To: <20190904073644.GA32096@lks.home> Content-Type: text/plain; charset=koi8-r; format=flowed Content-Language: Russian-English Content-Transfer-Encoding: 8bit Authentication-Results: smtp34.i.mail.ru; auth=pass smtp.auth=vkarpinsky@mail.ru smtp.mailfrom=vkarpinsky@mail.ru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ailru-Sender: 47CC51BD8988F1239F557003D4A8B6C53CC3BC4ABB751A9968F561CDB3C2B5EE536FCCD46ED3D72E189086648D43AF80C77752E0C033A69E9629CB05D30F4213116F0678BC710751AE208404248635DF X-Mras: OK Subject: Re: [Sysadmins] p8 -> p9 X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 04 Sep 2019 07:57:16 -0000 Archived-At: List-Archive: Добрый день! 04.09.2019 10:36, Konstantin Lepikhov пишет: > Hi Vladimir! > > On 09/03/2019, at 07:51:46 PM you wrote: > >> Здравствуйте! >> >> Пытаюсь обновиться. >> >> 1. Отвалился OpenVPN из-за слабости сертификата: >> OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak >> Безопасность, это хорошо, но не имея возможности подключиться к серверу, >> исправить это точно не получится. Как можно временно понизить этот уровень >> безопасности? > https://github.com/OpenVPN/openvpn-gui/issues/229 > ... >> try to convince the server admin to upgrade the server certificate. No >> excuse for using MD5 in certificates. If that is not an option you could >> run with --tls-cipher DEFAULT:@SECLEVEL=0, but its not recommended. Эту опцию куда надо прикручивать? Я пытался в конфиг клиента, поскольку именно он ругается на слабость сертификата, но он ругается и вообще не запускается. Готовлюсь к обновлению сертификатов: осталось только 1 устройство без резервной линии связи -- GSM-роутер с динамическим адресом. За ним только одно устройство, на которое ничего для резервного канала не поставить, и ехать туда под 100 км :-(. Хотелось бы понять в каком порядке надо проводить замену сертификатов при таком раскладе. -- С уважением, Владимир.