É possível que o APT aceite um certificado “inválido”?

Question

É possível que o APT aceite um certificado “inválido”?

#1 resposta do (6 votos)

2

Eu descobri algo engraçado hoje. Então, eu tenho o Kali Linux e estou tentando atualizar completamente o sistema usando o repo link . Tudo está bem e bem até que eu recebo 403 negado por backdoor-factory e mimikatz. No começo eu pensei que era um erro de configuração do servidor e então ignorei, mas fiquei curioso e decidi colocar as URLs no Firefox. Com certeza, minha universidade bloqueia essas URLs específicas, mas não qualquer outra coisa no repositório.

Eu decidi verificar se eu poderia carregar as URLs em https (sim, eu sabia que era um tiro longo como a maioria dos servidores APT (afaik) nem sequer suportam https) e descobri que funciona, mas somente ao aceitar o certificado para archive-8.kali.org. (sim, eu sei que certificados inválidos não são bons, mas eu imaginei que se estivesse usando GPG para verificar a validade e usar http sem criptografia de qualquer maneira, então por que não).

Além disso, sei que posso usar o link no lugar do antigo URL e o fiz, mas o motivo Eu perguntei sobre a aceitação de certificados inválidos para se essa solução de apenas mudar de domínio é impossível.

apt certificates kali-linux

por SenorContento 20.10.2016 / 15:22

1 resposta

Tags apt certificates kali-linux

Como encontrar a primeira vogal em uma string Analisa o uso do disco para a partição raiz, excluindo outras partições montadas com o programa GUI?

score 6 · Accepted Answer

Você pode configurar determinados parâmetros para o transporte HTTPS em /etc/apt/apt.conf.d/ - consulte man apt.conf (seção "O GRUPO DE ACQUIRE", subseção "https") para obter detalhes.
Há também um exemplo útil em o projeto trusted-apt .

Por exemplo, você pode desativar completamente a verificação de certificados:

// Do not verify peer certificate
Acquire::https::Verify-Peer "false";
// Do not verify that certificate name matches server name
Acquire::https::Verify-Host "false";

... ou apenas para um host específico:

Acquire::https::repo.domain.tld::Verify-Peer "false";
Acquire::https::repo.domain.tld::Verify-Host "false";

Essas opções devem ser colocadas em um arquivo recém-criado em /etc/apt/apt.conf.d/ , para que não interfiram nas opções instaladas pelos pacotes oficiais (que criarão arquivos separados). O nome do arquivo determina a ordem em que os arquivos de opções são analisados, então você provavelmente desejará escolher um número bastante alto para ter suas opções analisadas após as instaladas por outros pacotes. Tente 80ssl-exceptions , por exemplo.