У меня есть приложение, которое было распространено очень давно. Это приложение предлагает интерфейс https для клиентов с аутентификацией сертификата клиента. К моменту выпуска приложения предоставление сертификатов с длиной ключа 1024 бита, вероятно, было нормальным. Хотя мы всегда призывали клиентов обновить сертификат по умолчанию с их собственной PKI, большинство из них просто используют сертификат по умолчанию, поэтому у меня есть тысячи экземпляров, работающих таким образом. Теперь мне нужно написать клиента (на Python) для запроса этого приложения. Этот клиент будет работать в более современных дистрибутивах Linux, где библиотеки и клиентские приложения скомпилированы с использованием openssl 1.1.1a. В результате я всегда получаю следующую ошибку при попытке доступа к интерфейсу https с использованием слабого сертификата клиента по умолчанию: Ошибка OpenSSL:
140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small
запуск того же кода на старых дистрибутивах (со старым openssl) или использование приложения, скомпилированного для gnutls, работает нормально.
Несколько вопросов:
SECLEVEL 2, установка уровня безопасности 112 бит
SECLEVEL 1 был значением по умолчанию в предыдущих версиях и составляет 80 бит.