У меня есть приложение, которое было распространено очень давно. Это приложение предлагает интерфейс https для клиентов с аутентификацией сертификата клиента. К моменту выпуска приложения предоставление сертификатов с длиной ключа 1024 бита, вероятно, было нормальным. Хотя мы всегда предлагали клиентам обновить сертификат по умолчанию с помощью их собственной PKI, большинство из них просто используют сертификат по умолчанию, поэтому у меня тысячи экземпляров работают таким образом. Теперь мне нужно написать клиента (на Python) для запроса этого приложения. Этот клиент будет работать в более современных дистрибутивах Linux, где библиотеки и клиентские приложения скомпилированы с использованием openssl 1.1.1a. В результате я всегда получаю сообщение об ошибке при попытке доступа к интерфейсу https с использованием слабого сертификата клиента по умолчанию: Ошибка OpenSSL:
140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small
выполнение того же кода на старых дистрибутивах (со старым openssl) или использование приложения, скомпилированного для gnutls, работает нормально.
Несколько вопросов:
SECLEVEL 2 установка уровень безопасности до 112 бит
SECLEVEL 1 был значением по умолчанию в предыдущих версиях и составляет 80 бит