APT「無効な」証明書を受け入れることは可能ですか?
今日は面白いものを発見しました。それで、私はKali Linuxを持っていて、リポジトリ http://http.kali.org/kali を使用してシステムを完全に更新しようとしています。バックドアファクトリーとmimikatzで403が拒否されるまで、すべて順調です。最初はサーバーの設定エラーだと思ったので無視しましたが、不思議に思ってURLをFirefoxにポップすることにしました。案の定、私の大学はこれらの特定のURLをブロックしますが、リポジトリ内の他のものはブロックしません。
ほとんどの(afaik)APTサーバーはhttpsをまったくサポートしていない)ので、URLをhttpsにロードできるかどうかを確認することに決めましたそれは機能しますが、archive-8.kali.orgの証明書を受け入れる場合のみです(そうです、無効な証明書は適切でないことを知っていますが、GPGを使用して有効性をチェックしており、httpをnoとにかく暗号化し、それからなぜそうしないのか)。
また、古いURLの代わりに https://archive-8.kali.org/kali を使用できることはわかっていますが、無効な証明書の受け入れについて尋ねた理由はドメインを切り替えるだけのこのソリューションが不可能である場合。
/etc/apt/apt.conf.d/でHTTPSトランスポートの特定のパラメーターを設定できます。詳細については、man apt.conf(「ACQUIREグループ」のセクション、「https」のセクション)を参照してください。trusted-aptプロジェクトにも 役立つ例 があります。
たとえば、証明書の確認を完全に無効にすることができます。
// Do not verify peer certificate
Acquire::https::Verify-Peer "false";
// Do not verify that certificate name matches server name
Acquire::https::Verify-Host "false";
…または特定のホストのみ:
Acquire::https::repo.domain.tld::Verify-Peer "false";
Acquire::https::repo.domain.tld::Verify-Host "false";
これらのオプションは、/etc/apt/apt.conf.d/の新しく作成されたファイルに配置する必要があります。これにより、公式パッケージ(独自のファイルが個別に作成されます)によってインストールされるオプションに干渉しなくなります。
ファイル名は、オプションファイルが解析される順序を決定するため、他のパッケージによってインストールされたオプションの後にオプションを解析するために、かなり高い数を選択する必要があります。たとえば、80ssl-exceptionsを試してください。