Re: HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID
Ciao e grazie anche a te. Sul fatto del file debian_version, si non ci ho capito un granchè, ma eventualmente cerco in rete la logica. La mia domanda in merito aveva lo scopo di capire se il sistema che ho adesso sul netbook è Jessie Stretch Buster o chi. Ma evidentemente non si vede da lì, da come capisco. Per quanto riguarda l'impostazione del browser, è molto strano proprio perchè ottengo quell'errore: - sia su Chromium - che su Midori ... il che mi fa sospettare che ci sia un problema di certificati a livello generale di sistema operativo, non di singola applicazione. Ho il forte sospetto che la presenza di quel repo unstable in sources.list abbia incasinato qualcosa, già da anni, ma che allora si trattava di "incasinamenti" accettabili che non compromettevano il sistema. Probabilmente l'aggiornamento che ho fatto adesso invece crea dei problemi. Intendo che forse è rimasto qualche pacchetto non di jessie, che compromette il funzionamento di altri pacchetti jessie... Mi sa tanto che sia il caso di approfittare dell'occasione per fare un aggiornamento ad un ramo più recente. Soprattutto perchè il kernel che monta la stretch o l'attuale testing cioè buster contiene il modulo "option" in versione aggiornata rispetto al vecchio kernel di Jessie: proprio per quello ai tempi avevo dovuto aggiungere il kernel nuovo con il modulo "option" in grado di gestire una malefica chiavetta modem olicard. Adesso dovrebbe essere supportata bene già dal kernel di default di stretch o di buster. Andiamo fuori tema, ma sto leggendo questo: https://www.debian.org/releases/stable/armel/release-notes/ch-upgrading.en.html#upgrade-preparations Da come capisco prima di aggiornare bisognerebbe portare il sistema ad uno stato "jessie puro" senza pacchetti estranei al ramo in questione, invece io ne ho diversi... Consigli in merito benaccetti anche se un po OT forse. Grazie di nuovo! :) 2018-01-19 19:52 GMT+01:00 dr_mortimer : > il Fri, 19 Jan 2018 11:55:34 +0100 > Joe ha scritto: > >> Ciao a tutti, >> >> [...] >> >> Domanda principale: >> >> 1- Cosa potrebbe mancare all'appello che provoca quell'errore? >> >> >> Domanda eventuale parere: >> >> 2- Cosa conviene fare con l'aggiornamento del sitema? >>Intendo come verificare che stia puntando al ramo più >>"conveniente" per l'uso "netbook" piuttosto balndo? >>Cioè, sincronizzare tutto al ramo stabile? >>Oppure assicurarsi di avere tutto sincronizzato col >>ramo testing? >>Ma perchè risulta "buster/sid", non lo capisco. >> >> >> Grazie in anticipo! :) >> Saluti! >> > > il ramo di debian è sicuramente testing, la dicitura è corretta. non > ricordo con precisione il perchè (su questo punto qualcuno più > informato di me potrà fornire delucidazioni) ma /etc/debian_version > definisce come attuale testing il codename della futura stable + sid. > forse è un po' contorto ma spero di essermi spiegato. > > riguardo all'errore "principale" mi pare di aver scorto diversi > possibili punti di partenza cercando pari pari l'errore che riscontri + > browser sul tuo motore di ricerca. ora non ho modo di approfondire ma > potresti iniziare da li per farti un'idea più precisa. ad una rapida > occhiata pare si possa agire direttamente dal browser incriminato per > fargli "digerire" i certificati ssl. > > saluti. > > alessio. > > -- > | Get Debian: http://www.debian.org/distrib/ > .''`. | The Onion Router: https://torproject.org/ > : :' : | > `. `'` | Gpg fingerprint: >`-| C5FC BC0D 83EB 5BE3 B74F E1AC D537 F72F 989F A176 >
Re: HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID
il Fri, 19 Jan 2018 11:55:34 +0100 Joe ha scritto: > Ciao a tutti, > > [...] > > Domanda principale: > > 1- Cosa potrebbe mancare all'appello che provoca quell'errore? > > > Domanda eventuale parere: > > 2- Cosa conviene fare con l'aggiornamento del sitema? >Intendo come verificare che stia puntando al ramo più >"conveniente" per l'uso "netbook" piuttosto balndo? >Cioè, sincronizzare tutto al ramo stabile? >Oppure assicurarsi di avere tutto sincronizzato col >ramo testing? >Ma perchè risulta "buster/sid", non lo capisco. > > > Grazie in anticipo! :) > Saluti! > il ramo di debian è sicuramente testing, la dicitura è corretta. non ricordo con precisione il perchè (su questo punto qualcuno più informato di me potrà fornire delucidazioni) ma /etc/debian_version definisce come attuale testing il codename della futura stable + sid. forse è un po' contorto ma spero di essermi spiegato. riguardo all'errore "principale" mi pare di aver scorto diversi possibili punti di partenza cercando pari pari l'errore che riscontri + browser sul tuo motore di ricerca. ora non ho modo di approfondire ma potresti iniziare da li per farti un'idea più precisa. ad una rapida occhiata pare si possa agire direttamente dal browser incriminato per fargli "digerire" i certificati ssl. saluti. alessio. -- | Get Debian: http://www.debian.org/distrib/ .''`. | The Onion Router: https://torproject.org/ : :' : | `. `'` | Gpg fingerprint: `-| C5FC BC0D 83EB 5BE3 B74F E1AC D537 F72F 989F A176
Re: HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID
Allora da un: aptitude search libssl sul sistema risultano installati: libssl1.0.0 libssl1.0.2 (marcato "i A") libssl1.1 (marcato "i A") anche ca-certificates risulta installato da "aptitude search". Con: aptitude show ca-certificates leggo: Stato: installato ... Versione: 20170717 Per cui è la versione del 17 Luglio 2017: mi pare abbastanza recente. Per verifica ho controllato anche sul mio sistema "slackware-14.2": ca-certificates-20161130-noarch-1_slack14.2 Che non non dà nessun problema pur essendo un set di certificati, almeno dal nome, più vetusti... Anche openssl ad esempio, qui su slack ho la versione 1.0.2, e relative librerie libssl (su slack non c'è il pacchetto separato libssl). su jessie invece c'è la "1.1.0g" e relative libss come si vede da sopra. Voi che versione avete di questi pacchetti: libssl ca-certificates ??? Grazie ancora per le risposte! :) 2018-01-19 17:21 GMT+01:00 Felipe Salvador : > On Fri, Jan 19, 2018 at 11:55:34AM +0100, Joe wrote: >> ERR_CERT_AUTHORITY_INVALID > >> Pensavo mi mancasse qualche pacchetto contenente i certificati, >> ma da apt risulta presente ca_certificates o qualcosa di simile, >> sto andando a memoria... >> >> Domanda principale: >> >> 1- Cosa potrebbe mancare all'appello che provoca quell'errore? > > (forse) l'età avanzata di libssl e ca-certificates in jessie? > >> Grazie in anticipo! :) >> Saluti! > > Ciao > -- > Felipe Salvador >
Re: HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID
On Fri, Jan 19, 2018 at 11:55:34AM +0100, Joe wrote: > ERR_CERT_AUTHORITY_INVALID > Pensavo mi mancasse qualche pacchetto contenente i certificati, > ma da apt risulta presente ca_certificates o qualcosa di simile, > sto andando a memoria... > > Domanda principale: > > 1- Cosa potrebbe mancare all'appello che provoca quell'errore? (forse) l'età avanzata di libssl e ca-certificates in jessie? > Grazie in anticipo! :) > Saluti! Ciao -- Felipe Salvador
Re: Ancora su Spectre e Meltdown
On Thu, Jan 18, 2018 at 10:07:17PM +, Luca Costantino wrote: > Buonasera lista > > Ho scaricato il tool messo a disposizione su GitHub > https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh > per > controllare se il proprio sistema è disponibile. > > Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio > 2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte iniziale > del secondo attacco... > Immagino che per mitigare gli altri attacchi debba aspettare almeno 4.5, > giusto? > > SID > # ./spectre-meltdown-checker-0.31/spectre-meltdown-checker.sh > Spectre and Meltdown mitigation detection tool v0.31 > > Checking for vulnerabilities against running kernel Linux 4.14.0-1-amd64 #1 > SMP Debian 4.14.2-1 (2017-11-30) x86_64 > CPU is Intel(R) Core(TM) i5-2450M CPU @ 2.50GHz Io non capisco, forse sbaglio qualcosa, non riesco neanche a trovare linux-image-4.14.0-1-amd64 su packages.debian.org https://packages.debian.org/search?keywords=linux-image-4.14.0&searchon=names&suite=unstable§ion=all https://packages.debian.org/search?keywords=linux-image-4.14.0-1-amd64&searchon=names&suite=all§ion=all Detto questo la situazione fra old stable, stable, testing, unstable ed experimental è assolutamente eterogenea. Quello che si osserva in una potrebbe non essere presente in un altra ecc ecc. Penso che questo sia il momento di verificare se ci siano aggiornamenti, di tenere pulito i vari sources.list(.d/*) e i vari preferences(.d/*), riducendo magari il "missaggio" delle release. Del resto spectre-meltdown-checker.sh sembra abbastanza affidabile, esegue diversi controlli per verificare la presenza di soluzioni per la stessa falla. Meltdown ad esempio (l'unico per cui in stretch ad oggi ci sia una soluzione), viene verificato così: if sys_interface_check "/sys/devices/system/cpu/vulnerabilities/meltdown"; then # this kernel has the /sys interface, trust it over everything sys_interface_available=1 else _info_nol "* Kernel supports Page Table Isolation (PTI): " kpti_support=0 kpti_can_tell=0 if [ -n "$opt_config" ]; then kpti_can_tell=1 if grep -Eq '^(CONFIG_PAGE_TABLE_ISOLATION|CONFIG_KAISER)=y' "$opt_config"; then _debug "kpti_support: found option "$(grep -E '^(CONFIG_PAGE_TABLE_ISOLATION|CONFIG_KAISER)=y' "$opt_config")" in $opt_config" kpti_support=1 fi fi if [ "$kpti_support" = 0 -a -n "$opt_map" ]; then
Re: Ancora su Spectre e Meltdown
> > È uscito da poco un post di Kroah sull'argomento: > > http://kroah.com/log/blog/2018/01/19/meltdown-status-2/ > > Per mitigare lo spectre bisogna ricompilare il kernel con un compilatore > patchato per retpoline. > Grazie. Pensavo che per mitigare almeno parzialmente un tipo degli attacchi bastasse un update del microcodice della cpu, ma evidentemente non e' cosi'... Grazie Luca
Re: Ancora su Spectre e Meltdown
On 18/01/2018 22:10, Luca Costantino wrote: Ho scaricato il tool messo a disposizione su GitHub https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh per controllare se il proprio sistema è disponibile. Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio 2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte iniziale del secondo attacco... Immagino che per mitigare gli altri attacchi debba aspettare almeno 4.5, giusto? È uscito da poco un post di Kroah sull'argomento: http://kroah.com/log/blog/2018/01/19/meltdown-status-2/ Per mitigare lo spectre bisogna ricompilare il kernel con un compilatore patchato per retpoline. Credo che ci vorranno settimane per vedere tutti gli exploit mitigati o patchati, con una combo di kernel, compilatore, firmware e forse anche qualche utility in user-space. Penso che l'unica sia tenere aggiornato e incrociare le dita. :) Bye.
Re: HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID
Sì, anche a me è la prima cosa che è venuta in mente... Sia dall'orologio di "openbox" piazzato in baso a destra (sulla barra tint2) che da "timedatectl", o anche dal comando "date" lanciati a terminale risulta 19 gennaio ore 12.21. Quindi il problema non sembrerebbe l'orologio di sistema indietro. Grazie della risposta in ogni caso! 2018-01-19 12:04 GMT+01:00 Giancarlo Martini : > Hai controllato la data del pc? A volte i problemi con i certificati > dipendono da quello > > Il giorno 19 gennaio 2018 11:55, Joe ha scritto: >> >> Ciao a tutti, >> >> Sono alle prese con un sistema Debian che avevo tirato su anni fa >> via netinstall. È un sistema diciamo abbastanza minimale, con openbox >> come WM, giusto per far girare il browser, un programma per scrittura >> testi (mi pare avessi messo abiword) e un reader pdf. Il tutto sta su un >> Aspire One molto vecchio con poco spazio disco, da qui l'esigenza di >> stare stretto. >> L'aggeggio lo usa un amico, che da due anni non riscontra problemi, >> ieri mi achiesto una mano perchè all'avvio saltava fuori di eseguire >> un fsck manualmente. Così l'ho fatto e poi provando un po' ho visto che >> chromium non si avviava. >> >> Allora ho tentato di mettere apposto i pacchetti con apt, disinstallando >> e reinstallando chromium. >> Tra i repositories ce n'era anche uno "unstable": utilizzato per >> installare ai tempi un kernel più recente di quello che offriva il >> ramo Jessie. >> La presenza di questo repo però incasinava qualcosa e non mi faceva >> reinstallare chromium. Così ho eliminato quel repo e in sources.list >> ho nuovamente solo link che puntano ai rami "jessie". >> >> Ho eseguito nuovamente apt, installando con successo chromium e >> aggiornando i pacchetti: >> >> apt upgrade >> >> Tuttavia qualcosa non mi convince perchè in /etc/debian_version leggo: >> >> "buster/sid" >> >> Prima di armeggiare con apt c'era scritto 8.1 o comunque 8.x. >> E infatti era la jessie, attualmente "oldstable" se non sbaglio. >> Ora, non sono molto pratico di Debian, visto che uso Slackware ormai >> dalla notte dei tempi... Ma "sid" è sempre il ramo "unstable", quello >> di sviluppo. Invece l'attuale "buster" dovrebbe essere il ramo >> "testing". >> Per cui non ho ben capito che senso abbia "buster/sid"... >> --- >> >> Al netto di tutto questo preambolo veniamo al problema più >> immediato: se apro un browser, sia chromium che midori, ottengo >> un problema di certificati invalidi su HTTPS. L'errore che vedo >> in chromium ad esempio è quello in oggetto: >> >> ERR_CERT_AUTHORITY_INVALID >> >> Pensavo mi mancasse qualche pacchetto contenente i certificati, >> ma da apt risulta presente ca_certificates o qualcosa di simile, >> sto andando a memoria... >> >> Domanda principale: >> >> 1- Cosa potrebbe mancare all'appello che provoca quell'errore? >> >> >> Domanda eventuale parere: >> >> 2- Cosa conviene fare con l'aggiornamento del sitema? >>Intendo come verificare che stia puntando al ramo più >>"conveniente" per l'uso "netbook" piuttosto balndo? >>Cioè, sincronizzare tutto al ramo stabile? >>Oppure assicurarsi di avere tutto sincronizzato col >>ramo testing? >>Ma perchè risulta "buster/sid", non lo capisco. >> >> >> Grazie in anticipo! :) >> Saluti! >> >
Re: HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID
Hai controllato la data del pc? A volte i problemi con i certificati dipendono da quello Il giorno 19 gennaio 2018 11:55, Joe ha scritto: > Ciao a tutti, > > Sono alle prese con un sistema Debian che avevo tirato su anni fa > via netinstall. È un sistema diciamo abbastanza minimale, con openbox > come WM, giusto per far girare il browser, un programma per scrittura > testi (mi pare avessi messo abiword) e un reader pdf. Il tutto sta su un > Aspire One molto vecchio con poco spazio disco, da qui l'esigenza di > stare stretto. > L'aggeggio lo usa un amico, che da due anni non riscontra problemi, > ieri mi achiesto una mano perchè all'avvio saltava fuori di eseguire > un fsck manualmente. Così l'ho fatto e poi provando un po' ho visto che > chromium non si avviava. > > Allora ho tentato di mettere apposto i pacchetti con apt, disinstallando > e reinstallando chromium. > Tra i repositories ce n'era anche uno "unstable": utilizzato per > installare ai tempi un kernel più recente di quello che offriva il > ramo Jessie. > La presenza di questo repo però incasinava qualcosa e non mi faceva > reinstallare chromium. Così ho eliminato quel repo e in sources.list > ho nuovamente solo link che puntano ai rami "jessie". > > Ho eseguito nuovamente apt, installando con successo chromium e > aggiornando i pacchetti: > > apt upgrade > > Tuttavia qualcosa non mi convince perchè in /etc/debian_version leggo: > > "buster/sid" > > Prima di armeggiare con apt c'era scritto 8.1 o comunque 8.x. > E infatti era la jessie, attualmente "oldstable" se non sbaglio. > Ora, non sono molto pratico di Debian, visto che uso Slackware ormai > dalla notte dei tempi... Ma "sid" è sempre il ramo "unstable", quello > di sviluppo. Invece l'attuale "buster" dovrebbe essere il ramo > "testing". > Per cui non ho ben capito che senso abbia "buster/sid"... > --- > > Al netto di tutto questo preambolo veniamo al problema più > immediato: se apro un browser, sia chromium che midori, ottengo > un problema di certificati invalidi su HTTPS. L'errore che vedo > in chromium ad esempio è quello in oggetto: > > ERR_CERT_AUTHORITY_INVALID > > Pensavo mi mancasse qualche pacchetto contenente i certificati, > ma da apt risulta presente ca_certificates o qualcosa di simile, > sto andando a memoria... > > Domanda principale: > > 1- Cosa potrebbe mancare all'appello che provoca quell'errore? > > > Domanda eventuale parere: > > 2- Cosa conviene fare con l'aggiornamento del sitema? >Intendo come verificare che stia puntando al ramo più >"conveniente" per l'uso "netbook" piuttosto balndo? >Cioè, sincronizzare tutto al ramo stabile? >Oppure assicurarsi di avere tutto sincronizzato col >ramo testing? >Ma perchè risulta "buster/sid", non lo capisco. > > > Grazie in anticipo! :) > Saluti! > >
HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID
Ciao a tutti, Sono alle prese con un sistema Debian che avevo tirato su anni fa via netinstall. È un sistema diciamo abbastanza minimale, con openbox come WM, giusto per far girare il browser, un programma per scrittura testi (mi pare avessi messo abiword) e un reader pdf. Il tutto sta su un Aspire One molto vecchio con poco spazio disco, da qui l'esigenza di stare stretto. L'aggeggio lo usa un amico, che da due anni non riscontra problemi, ieri mi achiesto una mano perchè all'avvio saltava fuori di eseguire un fsck manualmente. Così l'ho fatto e poi provando un po' ho visto che chromium non si avviava. Allora ho tentato di mettere apposto i pacchetti con apt, disinstallando e reinstallando chromium. Tra i repositories ce n'era anche uno "unstable": utilizzato per installare ai tempi un kernel più recente di quello che offriva il ramo Jessie. La presenza di questo repo però incasinava qualcosa e non mi faceva reinstallare chromium. Così ho eliminato quel repo e in sources.list ho nuovamente solo link che puntano ai rami "jessie". Ho eseguito nuovamente apt, installando con successo chromium e aggiornando i pacchetti: apt upgrade Tuttavia qualcosa non mi convince perchè in /etc/debian_version leggo: "buster/sid" Prima di armeggiare con apt c'era scritto 8.1 o comunque 8.x. E infatti era la jessie, attualmente "oldstable" se non sbaglio. Ora, non sono molto pratico di Debian, visto che uso Slackware ormai dalla notte dei tempi... Ma "sid" è sempre il ramo "unstable", quello di sviluppo. Invece l'attuale "buster" dovrebbe essere il ramo "testing". Per cui non ho ben capito che senso abbia "buster/sid"... --- Al netto di tutto questo preambolo veniamo al problema più immediato: se apro un browser, sia chromium che midori, ottengo un problema di certificati invalidi su HTTPS. L'errore che vedo in chromium ad esempio è quello in oggetto: ERR_CERT_AUTHORITY_INVALID Pensavo mi mancasse qualche pacchetto contenente i certificati, ma da apt risulta presente ca_certificates o qualcosa di simile, sto andando a memoria... Domanda principale: 1- Cosa potrebbe mancare all'appello che provoca quell'errore? Domanda eventuale parere: 2- Cosa conviene fare con l'aggiornamento del sitema? Intendo come verificare che stia puntando al ramo più "conveniente" per l'uso "netbook" piuttosto balndo? Cioè, sincronizzare tutto al ramo stabile? Oppure assicurarsi di avere tutto sincronizzato col ramo testing? Ma perchè risulta "buster/sid", non lo capisco. Grazie in anticipo! :) Saluti!