<div dir="auto">The problem is that we're not on master.<div dir="auto"><br></div><div dir="auto">Ubuntu 1604 is shipping 3.4.10 and 1804 has 3.5.18.</div><div dir="auto"><br></div><div dir="auto">There options you mentioned are not available in those versions.</div><div dir="auto"><br></div><div dir="auto">We are will aware of what there correct answer is, however moving a large organization at once isn't a valid option for us.</div><div dir="auto"><br></div><div dir="auto">Thanks, </div><div dir="auto">Brandon</div><br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Thu, Jan 23, 2020, 02:28 Dimitri John Ledkov <<a href="mailto:xnox@ubuntu.com">xnox@ubuntu.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
On Wed, 22 Jan 2020 at 16:42, Brandon Sawyers <<a href="mailto:brandor5@gmail.com" target="_blank" rel="noreferrer">brandor5@gmail.com</a>> wrote:<br>
><br>
> Hello everyone:<br>
><br>
> A recent package upgrade in ubuntu 1604 (v3.4.10-4ubuntu1.6) and 1804 (v3.5.18-1ubuntu1.2) has left us without SHA1 support. Since we are still in the process of migrating our last services off of SHA1 with a target date of April this has put us in a pickle.<br>
><br>
> From reading the docs I expect I should be able to use priority and allow SHA1 to function, however making this work has been rather frustrating.<br>
><br>
> I've tried several different versions of the following command but I would expect just having "NORMAL:+SIGN-RSA-SHA1:+SHA1" priority set should work.<br>
><br>
> `gnutls-bin --x509cafile ./cachain-with-sha1-signed-cert.pem --priority='NORMAL:+SIGN-RSA-SHA1:+SHA1' -p 636 <a href="http://internal.directory.org" rel="noreferrer noreferrer" target="_blank">internal.directory.org</a>`<br>
><br>
> What am I doing wrong?<br>
><br>
<br>
This seems ok.<br>
<br>
Looking at gnutls master, a few things jump out.<br>
GNUTLS_VERIFY_ALLOW_BROKEN doesn't include the<br>
GNUTLS_VERIFY_ALLOW_SIGN_WITH_SHA1 flag. Thus if gnutls-cli does<br>
specify --verify-allow-broken that doesn't add SHA1.<br>
<br>
I guess --insecure will do perform the connection.<br>
<br>
However, the best you can do is to upgrade your certs. Even if it is<br>
<a href="http://internal.directory.org" rel="noreferrer noreferrer" target="_blank">internal.directory.org</a> you should be able to get letsencrypt cert, and<br>
if needed instrument a reverse proxy webserver in front of<br>
<a href="http://internal.directory.org" rel="noreferrer noreferrer" target="_blank">internal.directory.org</a> if for some reason it can't do TLSv1.2 / bigger<br>
certs / legacy clients / etc.<br>
<br>
Similarly one can do similarish things on client, i.e. download the<br>
older gnutls28 from the archive/launchpad and LD_PRELOAD the old<br>
libgnutls30 - the api/abi should have stayed stable to do that.<br>
<br>
<br>
-- <br>
Regards,<br>
<br>
Dimitri.<br>
</blockquote></div></div>