Re: HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID

[Joe]

Ciao e grazie anche a te.

Sul fatto del file debian_version, si non ci ho capito un granchè,
ma eventualmente cerco in rete la logica.
La mia domanda in merito aveva lo scopo di capire se il sistema
che ho adesso sul netbook è Jessie Stretch Buster o chi.
Ma evidentemente non si vede da lì, da come capisco.

Per quanto riguarda l'impostazione del browser, è molto strano
proprio perchè ottengo quell'errore:
- sia su Chromium
- che su Midori

... il che mi fa sospettare che ci sia un problema di certificati a
livello generale di sistema operativo, non di singola applicazione.

Ho il forte sospetto che la presenza di quel repo unstable in sources.list
abbia incasinato qualcosa, già da anni, ma che allora si trattava di
"incasinamenti" accettabili che non compromettevano il sistema.
Probabilmente l'aggiornamento che ho fatto adesso invece crea
dei problemi.
Intendo che forse è rimasto qualche pacchetto non di jessie, che
compromette il funzionamento di altri pacchetti jessie...

Mi sa tanto che sia il caso di approfittare dell'occasione
per fare un aggiornamento ad un ramo più recente.

Soprattutto perchè il kernel che monta la stretch o l'attuale testing
cioè buster contiene il modulo "option" in versione aggiornata rispetto
al vecchio kernel di Jessie: proprio per quello ai tempi avevo dovuto
aggiungere il kernel nuovo con il modulo "option" in grado di gestire una
malefica chiavetta modem olicard.
Adesso dovrebbe essere supportata bene già dal kernel di default di
stretch o di buster.

Andiamo fuori tema, ma sto leggendo questo:
https://www.debian.org/releases/stable/armel/release-notes/ch-upgrading.en.html#upgrade-preparations

Da come capisco prima di aggiornare bisognerebbe portare il sistema
ad uno stato "jessie puro" senza pacchetti estranei al ramo in questione,
invece io ne ho diversi...

Consigli in merito benaccetti anche se un po OT forse.

Grazie di nuovo!  :)

2018-01-19 19:52 GMT+01:00 dr_mortimer :
> il Fri, 19 Jan 2018 11:55:34 +0100
> Joe  ha scritto:
>
>> Ciao a tutti,
>>
>> [...]
>>
>> Domanda principale:
>>
>> 1- Cosa potrebbe mancare all'appello che provoca quell'errore?
>>
>>
>> Domanda eventuale parere:
>>
>> 2- Cosa conviene fare con l'aggiornamento del sitema?
>>Intendo come verificare che stia puntando al ramo più
>>"conveniente" per l'uso "netbook" piuttosto balndo?
>>Cioè, sincronizzare tutto al ramo stabile?
>>Oppure assicurarsi di avere tutto sincronizzato col
>>ramo testing?
>>Ma perchè risulta "buster/sid", non lo capisco.
>>
>>
>> Grazie in anticipo!  :)
>> Saluti!
>>
>
> il ramo di debian è sicuramente testing, la dicitura è corretta. non
> ricordo con precisione il perchè (su questo punto qualcuno più
> informato di me potrà fornire delucidazioni) ma /etc/debian_version
> definisce come attuale testing il codename della futura stable + sid.
> forse è un po' contorto ma spero di essermi spiegato.
>
> riguardo all'errore "principale" mi pare di aver scorto diversi
> possibili punti di partenza cercando pari pari l'errore che riscontri +
> browser sul tuo motore di ricerca. ora non ho modo di approfondire ma
> potresti iniziare da li per farti un'idea più precisa. ad una rapida
> occhiata pare si possa agire direttamente dal browser incriminato per
> fargli "digerire" i certificati ssl.
>
> saluti.
>
> alessio.
>
> --
>  | Get Debian: http://www.debian.org/distrib/
>   .''`.  | The Onion Router: https://torproject.org/
>  : :'  : |
>  `. `'`  | Gpg fingerprint:
>`-| C5FC BC0D 83EB 5BE3 B74F E1AC D537 F72F 989F A176
>

Re: HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID

[dr_mortimer]

il Fri, 19 Jan 2018 11:55:34 +0100
Joe  ha scritto:

> Ciao a tutti,
> 
> [...]
>
> Domanda principale:
> 
> 1- Cosa potrebbe mancare all'appello che provoca quell'errore?
> 
> 
> Domanda eventuale parere:
> 
> 2- Cosa conviene fare con l'aggiornamento del sitema?
>Intendo come verificare che stia puntando al ramo più
>"conveniente" per l'uso "netbook" piuttosto balndo?
>Cioè, sincronizzare tutto al ramo stabile?
>Oppure assicurarsi di avere tutto sincronizzato col
>ramo testing?
>Ma perchè risulta "buster/sid", non lo capisco.
> 
> 
> Grazie in anticipo!  :)
> Saluti!
> 

il ramo di debian è sicuramente testing, la dicitura è corretta. non
ricordo con precisione il perchè (su questo punto qualcuno più
informato di me potrà fornire delucidazioni) ma /etc/debian_version
definisce come attuale testing il codename della futura stable + sid.
forse è un po' contorto ma spero di essermi spiegato.

riguardo all'errore "principale" mi pare di aver scorto diversi
possibili punti di partenza cercando pari pari l'errore che riscontri +
browser sul tuo motore di ricerca. ora non ho modo di approfondire ma
potresti iniziare da li per farti un'idea più precisa. ad una rapida
occhiata pare si possa agire direttamente dal browser incriminato per
fargli "digerire" i certificati ssl.

saluti.

alessio.

-- 
 | Get Debian: http://www.debian.org/distrib/
  .''`.  | The Onion Router: https://torproject.org/
 : :'  : | 
 `. `'`  | Gpg fingerprint:
   `-| C5FC BC0D 83EB 5BE3 B74F E1AC D537 F72F 989F A176

Re: HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID

[Joe]

Allora da un:

aptitude search libssl

sul sistema risultano installati:

libssl1.0.0
libssl1.0.2 (marcato "i A")
libssl1.1 (marcato "i A")

anche

ca-certificates

risulta installato da "aptitude search".

Con:

aptitude show ca-certificates

leggo:

Stato: installato
...
Versione: 20170717


Per cui è la versione del 17 Luglio 2017: mi pare abbastanza recente.
Per verifica ho controllato anche sul mio sistema "slackware-14.2":

ca-certificates-20161130-noarch-1_slack14.2

Che non non dà nessun problema pur essendo un set di certificati,
almeno dal nome, più vetusti...

Anche openssl ad esempio, qui su slack ho la versione 1.0.2,
e relative librerie libssl (su slack non c'è il pacchetto separato libssl).
su jessie invece c'è la "1.1.0g"  e relative libss come si vede da sopra.

Voi che versione avete di questi pacchetti:

libssl
ca-certificates

???

Grazie ancora per le risposte!  :)




2018-01-19 17:21 GMT+01:00 Felipe Salvador :
> On Fri, Jan 19, 2018 at 11:55:34AM +0100, Joe wrote:
>> ERR_CERT_AUTHORITY_INVALID
>
>> Pensavo mi mancasse qualche pacchetto contenente i certificati,
>> ma da apt risulta presente ca_certificates o qualcosa di simile,
>> sto andando a memoria...
>>
>> Domanda principale:
>>
>> 1- Cosa potrebbe mancare all'appello che provoca quell'errore?
>
> (forse) l'età avanzata di libssl e ca-certificates in jessie?
>
>> Grazie in anticipo!  :)
>> Saluti!
>
> Ciao
> --
> Felipe Salvador
>

Re: HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID

[Felipe Salvador]

On Fri, Jan 19, 2018 at 11:55:34AM +0100, Joe wrote:
> ERR_CERT_AUTHORITY_INVALID

> Pensavo mi mancasse qualche pacchetto contenente i certificati,
> ma da apt risulta presente ca_certificates o qualcosa di simile,
> sto andando a memoria...
> 
> Domanda principale:
> 
> 1- Cosa potrebbe mancare all'appello che provoca quell'errore?

(forse) l'età avanzata di libssl e ca-certificates in jessie?
 
> Grazie in anticipo!  :)
> Saluti!

Ciao
-- 
Felipe Salvador

Re: Ancora su Spectre e Meltdown

[Felipe Salvador]

On Thu, Jan 18, 2018 at 10:07:17PM +, Luca Costantino wrote:
> Buonasera lista
> 
> Ho scaricato il tool messo a disposizione su GitHub
> https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh
> per
> controllare se il proprio sistema è disponibile.
> 
> Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio
> 2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte iniziale
> del secondo attacco...
> Immagino che per mitigare gli altri attacchi debba aspettare almeno 4.5,
> giusto?
> 
> SID

> # ./spectre-meltdown-checker-0.31/spectre-meltdown-checker.sh
> Spectre and Meltdown mitigation detection tool v0.31
> 
> Checking for vulnerabilities against running kernel Linux 4.14.0-1-amd64 #1
> SMP Debian 4.14.2-1 (2017-11-30) x86_64
> CPU is Intel(R) Core(TM) i5-2450M CPU @ 2.50GHz

Io non capisco, forse sbaglio qualcosa, non riesco neanche a
trovare linux-image-4.14.0-1-amd64 su packages.debian.org

https://packages.debian.org/search?keywords=linux-image-4.14.0=names=unstable=all
https://packages.debian.org/search?keywords=linux-image-4.14.0-1-amd64=names=all=all

Detto questo la situazione fra old stable, stable, testing, unstable
ed experimental è assolutamente eterogenea. Quello che si osserva in
una potrebbe non essere presente in un altra ecc ecc.

Penso che questo sia il momento di verificare se ci siano
aggiornamenti, di tenere pulito i vari sources.list(.d/*) e i vari
preferences(.d/*), riducendo magari il "missaggio" delle release.

Del resto spectre-meltdown-checker.sh sembra abbastanza affidabile,
esegue diversi controlli per verificare la presenza di soluzioni per la stessa
falla. Meltdown ad esempio (l'unico per cui in stretch ad oggi ci sia
una soluzione), viene verificato così:


if sys_interface_check 
"/sys/devices/system/cpu/vulnerabilities/meltdown"; then

 
# this kernel has the /sys interface, trust it over everything  


sys_interface_available=1   


else


_info_nol "* Kernel supports Page Table Isolation (PTI): "  


kpti_support=0  


kpti_can_tell=0 


if [ -n "$opt_config" ]; then   


kpti_can_tell=1 


if grep -Eq 
'^(CONFIG_PAGE_TABLE_ISOLATION|CONFIG_KAISER)=y' "$opt_config"; then


_debug "kpti_support: found option "$(grep -E 
'^(CONFIG_PAGE_TABLE_ISOLATION|CONFIG_KAISER)=y' "$opt_config")" in 
$opt_config"  
kpti_support=1  


fi  


fi  


if [ "$kpti_support" = 0 -a -n "$opt_map" ]; then   

 

Re: Ancora su Spectre e Meltdown

[Luca Costantino]

>
> È uscito da poco un post di Kroah sull'argomento:
>
> http://kroah.com/log/blog/2018/01/19/meltdown-status-2/
>
> Per mitigare lo spectre bisogna ricompilare il kernel con un compilatore
> patchato per retpoline.
>

Grazie. Pensavo che per mitigare almeno parzialmente un tipo degli attacchi
bastasse un update del microcodice della cpu, ma evidentemente non e'
cosi'...

Grazie
Luca

Re: Ancora su Spectre e Meltdown

[Alessandro Pellizzari]

On 18/01/2018 22:10, Luca Costantino wrote:

Ho scaricato il tool messo a disposizione su GitHub 
https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh per 
controllare se il proprio sistema è disponibile.


Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio 
2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte 
iniziale del secondo attacco...
Immagino che per mitigare gli altri attacchi debba aspettare almeno 4.5, 
giusto?


È uscito da poco un post di Kroah sull'argomento:

http://kroah.com/log/blog/2018/01/19/meltdown-status-2/

Per mitigare lo spectre bisogna ricompilare il kernel con un compilatore 
patchato per retpoline.


Credo che ci vorranno settimane per vedere tutti gli exploit mitigati o 
patchati, con una combo di kernel, compilatore, firmware e forse anche 
qualche utility in user-space.


Penso che l'unica sia tenere aggiornato e incrociare le dita. :)

Bye.

Re: HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID

[Joe]

Sì, anche a me è la prima cosa che è venuta in mente...
Sia dall'orologio di "openbox" piazzato in baso a destra (sulla barra
tint2) che da "timedatectl", o anche dal comando "date" lanciati a
terminale risulta 19 gennaio ore 12.21.

Quindi il problema non sembrerebbe l'orologio di sistema indietro.
Grazie della risposta in ogni caso!

2018-01-19 12:04 GMT+01:00 Giancarlo Martini :
> Hai controllato la data del pc? A volte i problemi con i certificati
> dipendono da quello
>
> Il giorno 19 gennaio 2018 11:55, Joe  ha scritto:
>>
>> Ciao a tutti,
>>
>> Sono alle prese con un sistema Debian che avevo tirato su anni fa
>> via netinstall. È un sistema diciamo abbastanza minimale, con openbox
>> come WM, giusto per far girare il browser, un programma per scrittura
>> testi (mi pare avessi messo abiword) e un reader pdf. Il tutto sta su un
>> Aspire One molto vecchio con poco spazio disco, da qui l'esigenza di
>> stare stretto.
>> L'aggeggio lo usa un amico, che da due anni non riscontra problemi,
>> ieri mi achiesto una mano perchè all'avvio saltava fuori di eseguire
>> un fsck manualmente. Così l'ho fatto e poi provando un po' ho visto che
>> chromium non si avviava.
>>
>> Allora ho tentato di mettere apposto i pacchetti con apt, disinstallando
>> e reinstallando chromium.
>> Tra i repositories ce n'era anche uno "unstable": utilizzato per
>> installare ai tempi un kernel più recente di quello che offriva il
>> ramo Jessie.
>> La presenza di questo repo però incasinava qualcosa e non mi faceva
>> reinstallare chromium. Così ho eliminato quel repo e in sources.list
>> ho nuovamente solo link che puntano ai rami "jessie".
>>
>> Ho eseguito nuovamente apt, installando con successo chromium e
>> aggiornando i pacchetti:
>>
>> apt upgrade
>>
>> Tuttavia qualcosa non mi convince perchè in /etc/debian_version leggo:
>>
>> "buster/sid"
>>
>> Prima di armeggiare con apt c'era scritto 8.1 o comunque 8.x.
>> E infatti era la jessie, attualmente "oldstable" se non sbaglio.
>> Ora, non sono molto pratico di Debian, visto che uso Slackware ormai
>> dalla notte dei tempi... Ma "sid" è sempre il ramo "unstable", quello
>> di sviluppo. Invece l'attuale "buster" dovrebbe essere il ramo
>> "testing".
>> Per cui non ho ben capito che senso abbia "buster/sid"...
>> ---
>>
>> Al netto di tutto questo preambolo veniamo al problema più
>> immediato: se apro un browser, sia chromium che midori, ottengo
>> un problema di certificati invalidi su HTTPS. L'errore che vedo
>> in chromium ad esempio è quello in oggetto:
>>
>> ERR_CERT_AUTHORITY_INVALID
>>
>> Pensavo mi mancasse qualche pacchetto contenente i certificati,
>> ma da apt risulta presente ca_certificates o qualcosa di simile,
>> sto andando a memoria...
>>
>> Domanda principale:
>>
>> 1- Cosa potrebbe mancare all'appello che provoca quell'errore?
>>
>>
>> Domanda eventuale parere:
>>
>> 2- Cosa conviene fare con l'aggiornamento del sitema?
>>Intendo come verificare che stia puntando al ramo più
>>"conveniente" per l'uso "netbook" piuttosto balndo?
>>Cioè, sincronizzare tutto al ramo stabile?
>>Oppure assicurarsi di avere tutto sincronizzato col
>>ramo testing?
>>Ma perchè risulta "buster/sid", non lo capisco.
>>
>>
>> Grazie in anticipo!  :)
>> Saluti!
>>
>

Re: HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID

[Giancarlo Martini]

Hai controllato la data del pc? A volte i problemi con i certificati
dipendono da quello

Il giorno 19 gennaio 2018 11:55, Joe  ha scritto:

> Ciao a tutti,
>
> Sono alle prese con un sistema Debian che avevo tirato su anni fa
> via netinstall. È un sistema diciamo abbastanza minimale, con openbox
> come WM, giusto per far girare il browser, un programma per scrittura
> testi (mi pare avessi messo abiword) e un reader pdf. Il tutto sta su un
> Aspire One molto vecchio con poco spazio disco, da qui l'esigenza di
> stare stretto.
> L'aggeggio lo usa un amico, che da due anni non riscontra problemi,
> ieri mi achiesto una mano perchè all'avvio saltava fuori di eseguire
> un fsck manualmente. Così l'ho fatto e poi provando un po' ho visto che
> chromium non si avviava.
>
> Allora ho tentato di mettere apposto i pacchetti con apt, disinstallando
> e reinstallando chromium.
> Tra i repositories ce n'era anche uno "unstable": utilizzato per
> installare ai tempi un kernel più recente di quello che offriva il
> ramo Jessie.
> La presenza di questo repo però incasinava qualcosa e non mi faceva
> reinstallare chromium. Così ho eliminato quel repo e in sources.list
> ho nuovamente solo link che puntano ai rami "jessie".
>
> Ho eseguito nuovamente apt, installando con successo chromium e
> aggiornando i pacchetti:
>
> apt upgrade
>
> Tuttavia qualcosa non mi convince perchè in /etc/debian_version leggo:
>
> "buster/sid"
>
> Prima di armeggiare con apt c'era scritto 8.1 o comunque 8.x.
> E infatti era la jessie, attualmente "oldstable" se non sbaglio.
> Ora, non sono molto pratico di Debian, visto che uso Slackware ormai
> dalla notte dei tempi... Ma "sid" è sempre il ramo "unstable", quello
> di sviluppo. Invece l'attuale "buster" dovrebbe essere il ramo
> "testing".
> Per cui non ho ben capito che senso abbia "buster/sid"...
> ---
>
> Al netto di tutto questo preambolo veniamo al problema più
> immediato: se apro un browser, sia chromium che midori, ottengo
> un problema di certificati invalidi su HTTPS. L'errore che vedo
> in chromium ad esempio è quello in oggetto:
>
> ERR_CERT_AUTHORITY_INVALID
>
> Pensavo mi mancasse qualche pacchetto contenente i certificati,
> ma da apt risulta presente ca_certificates o qualcosa di simile,
> sto andando a memoria...
>
> Domanda principale:
>
> 1- Cosa potrebbe mancare all'appello che provoca quell'errore?
>
>
> Domanda eventuale parere:
>
> 2- Cosa conviene fare con l'aggiornamento del sitema?
>Intendo come verificare che stia puntando al ramo più
>"conveniente" per l'uso "netbook" piuttosto balndo?
>Cioè, sincronizzare tutto al ramo stabile?
>Oppure assicurarsi di avere tutto sincronizzato col
>ramo testing?
>Ma perchè risulta "buster/sid", non lo capisco.
>
>
> Grazie in anticipo!  :)
> Saluti!
>
>

HTTPS - La tua connessione non è privata - ERR_CERT_AUTHORITY_INVALID

[Joe]

Ciao a tutti,

Sono alle prese con un sistema Debian che avevo tirato su anni fa
via netinstall. È un sistema diciamo abbastanza minimale, con openbox
come WM, giusto per far girare il browser, un programma per scrittura
testi (mi pare avessi messo abiword) e un reader pdf. Il tutto sta su un
Aspire One molto vecchio con poco spazio disco, da qui l'esigenza di
stare stretto.
L'aggeggio lo usa un amico, che da due anni non riscontra problemi,
ieri mi achiesto una mano perchè all'avvio saltava fuori di eseguire
un fsck manualmente. Così l'ho fatto e poi provando un po' ho visto che
chromium non si avviava.

Allora ho tentato di mettere apposto i pacchetti con apt, disinstallando
e reinstallando chromium.
Tra i repositories ce n'era anche uno "unstable": utilizzato per
installare ai tempi un kernel più recente di quello che offriva il
ramo Jessie.
La presenza di questo repo però incasinava qualcosa e non mi faceva
reinstallare chromium. Così ho eliminato quel repo e in sources.list
ho nuovamente solo link che puntano ai rami "jessie".

Ho eseguito nuovamente apt, installando con successo chromium e
aggiornando i pacchetti:

apt upgrade

Tuttavia qualcosa non mi convince perchè in /etc/debian_version leggo:

"buster/sid"

Prima di armeggiare con apt c'era scritto 8.1 o comunque 8.x.
E infatti era la jessie, attualmente "oldstable" se non sbaglio.
Ora, non sono molto pratico di Debian, visto che uso Slackware ormai
dalla notte dei tempi... Ma "sid" è sempre il ramo "unstable", quello
di sviluppo. Invece l'attuale "buster" dovrebbe essere il ramo
"testing".
Per cui non ho ben capito che senso abbia "buster/sid"...
---

Al netto di tutto questo preambolo veniamo al problema più
immediato: se apro un browser, sia chromium che midori, ottengo
un problema di certificati invalidi su HTTPS. L'errore che vedo
in chromium ad esempio è quello in oggetto:

ERR_CERT_AUTHORITY_INVALID

Pensavo mi mancasse qualche pacchetto contenente i certificati,
ma da apt risulta presente ca_certificates o qualcosa di simile,
sto andando a memoria...

Domanda principale:

1- Cosa potrebbe mancare all'appello che provoca quell'errore?


Domanda eventuale parere:

2- Cosa conviene fare con l'aggiornamento del sitema?
   Intendo come verificare che stia puntando al ramo più
   "conveniente" per l'uso "netbook" piuttosto balndo?
   Cioè, sincronizzare tutto al ramo stabile?
   Oppure assicurarsi di avere tutto sincronizzato col
   ramo testing?
   Ma perchè risulta "buster/sid", non lo capisco.


Grazie in anticipo!  :)
Saluti!