WeeChat केवल IRC सर्वर को SSL से जोड़ता है यदि "ssl_verify" विकल्प बंद है


1

टर्मिनल (आर्क लिनक्स पर) के माध्यम से वीचैट का उपयोग करते हुए, मैं एसएसएल के साथ फरिनोड के सर्वर से जुड़ सकता हूं। वहां कोई समस्या नहीं।

लेकिन अगर मैं कनेक्ट करने की कोशिश करता हूं कुछ एसएससी का उपयोग कर आईआरसी सर्वर (जैसे ircs.overthewire.org), WeeChat निम्नलिखित त्रुटियां देता है:

gnutls: peer's certificate is NOT trusted
gnutls: peer's certificate issuer is unknown
irc: TLS handshake failed
irc: error: Error in the certificate.

SSL के साथ ऐसे सर्वर से कनेक्ट करना केवल तभी काम करता है जब मैं निम्नलिखित सलाह के अनुसार करता हूं WeeChat के अक्सर पूछे जाने वाले प्रश्न :

/set irc.server.example.ssl_verify off

हालांकि, वही एफएक्यू कहता है कि मुझे सावधान रहना चाहिए, क्योंकि यह इसे कम सुरक्षित बनाता है।

क्या यह कुछ ऐसा है जिसे मैं बिल्कुल ठीक कर सकता हूं, या यह एक ऐसा मुद्दा है जिसके लिए मुझे कुछ आईआरसी सर्वरों के साथ रहना होगा?

जवाबों:


1

TLS / SSL यहाँ उसी तरह से काम करता है जैसे कि वह वेब ब्राउज़र में HTTPS के साथ करता है। यदि सर्वर का प्रमाण पत्र मान्य है, तो आप वेबसाइट तक पहुँच सकते हैं - यदि ऐसा नहीं है, तो आपको ब्राउज़र (क्लाइंट) से एक डरावनी चेतावनी मिलती है, क्योंकि इसमें यह जानने का कोई तरीका नहीं है कि सत्यापन विफलता सर्वर के प्रतिरूपण का परिणाम है या नहीं , या क्या यह व्यवस्थापक की साइट पर हानिरहित ग़लतफ़हमी है।

(और दुर्भाग्य से, अधिकांश आईआरसी सर्वर ऑपरेटर ऐसा न करें अपने टीएलएस प्रमाणपत्रों को अप-टू-डेट रखने के बारे में देखभाल - या वास्तव में यहां तक ​​कि पहली जगह में वैध प्राप्त करना।)

इस मामले में, ircs.overthewire.org:6697 टीएलएस प्रमाणपत्र है कि कम से कम हुआ करता था मान्य है, लेकिन इसके जारीकर्ता (StartCom Ltd.) को अब विभिन्न व्यवस्थाओं के कारण अधिकांश प्रणालियों पर भरोसा नहीं है। आपको संदेश "जारीकर्ता अज्ञात है" मिलता है क्योंकि आपके OS में अब StartCom रूट CA प्रमाणपत्र स्थापित नहीं है।

आपके पास दो विकल्प हैं:

  • CA- आधारित सत्यापन का उपयोग करने के बजाय, वीचैट को स्वीकार करने के लिए कहें यह विशिष्ट प्रमाण पत्र क्योंकि आपने इसे किसी अन्य विधि का उपयोग करके मान्य किया है। (मूल रूप से SSH द्वारा उपयोग की जाने वाली विधि।) ऐसा करने के लिए, विकल्प सेट करें irc.server. उदाहरण .ssl_fingerprint प्रमाणपत्र के SHA-256 फिंगरप्रिंट (या कम सुरक्षित SHA-1) के लिए।

    वर्तमान में सर्वर द्वारा पेश किए गए प्रमाण पत्र के फिंगरप्रिंट इस प्रकार हैं:

    sha1   = 540fbfe14671915ee939b3a78b8ce52bf45c8e85
    sha256 = 5916acbdfff8e1474402c75ccba2858c23e93348607d122e4f3106cbed6ab1ff
    

    यह तब तक काम करेगा जब तक कि सर्वर ऑपरेटर प्रमाणपत्र को नहीं बदल देते हैं, इस बिंदु पर आपको या तो नए फिंगरप्रिंट के साथ विकल्प को अपडेट करना होगा, या प्रयोग करके अपनी किस्मत आजमाएं ssl_verify = on फिर।

  • अनुशंसित नहीं: StartCom रूट CA डाउनलोड करें और इसे अपने OS में विश्वसनीय के रूप में चिह्नित करें (या कम से कम वीचैट में)।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.