<div dir="auto">Thank you very much!<div dir="auto"><br></div><div dir="auto">I will track the bug there.</div><div dir="auto"><br></div><div dir="auto">Thanks,</div><div dir="auto">Brandon</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jan 23, 2020, 07:16 Dimitri John Ledkov <<a href="mailto:xnox@ubuntu.com">xnox@ubuntu.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, 23 Jan 2020 at 14:01, Nikos Mavrogiannopoulos <<a href="mailto:nmav@gnutls.org" target="_blank" rel="noreferrer">nmav@gnutls.org</a>> wrote:<br>
><br>
> On Wed, Jan 22, 2020 at 3:42 PM Brandon Sawyers <<a href="mailto:brandor5@gmail.com" target="_blank" rel="noreferrer">brandor5@gmail.com</a>> wrote:<br>
> ><br>
> > Hello everyone:<br>
> ><br>
> > A recent package upgrade in ubuntu 1604 (v3.4.10-4ubuntu1.6) and 1804 (v3.5.18-1ubuntu1.2) has left us without SHA1 support. Since we are still in the process of migrating our last services off of SHA1 with a target date of April this has put us in a pickle.<br>
> ><br>
> > From reading the docs I expect I should be able to use priority and allow SHA1 to function, however making this work has been rather frustrating.<br>
> ><br>
> > I've tried several different versions of the following command but I would expect just having "NORMAL:+SIGN-RSA-SHA1:+SHA1" priority set should work.<br>
> ><br>
> > `gnutls-bin --x509cafile ./cachain-with-sha1-signed-cert.pem --priority='NORMAL:+SIGN-RSA-SHA1:+SHA1' -p 636 <a href="http://internal.directory.org" rel="noreferrer noreferrer" target="_blank">internal.directory.org</a>`<br>
><br>
> Have you tried appending %VERIFY_ALLOW_SIGN_WITH_SHA1? The available<br>
> priority strings are documented in:<br>
> <a href="https://gnutls.org/manual/html_node/Priority-Strings.html" rel="noreferrer noreferrer" target="_blank">https://gnutls.org/manual/html_node/Priority-Strings.html</a><br>
><br>
<br>
>From what I can tell is that the backports do not include that<br>
flag.... I'm escalating this, as this is regression-security as I do<br>
not believe that upstream code is affected as this is an issue in the<br>
patch set released in ubuntu.<br>
<br>
I hope to move this discussion downstream to<br>
<a href="https://bugs.launchpad.net/ubuntu/+source/gnutls28/+bug/1860656" rel="noreferrer noreferrer" target="_blank">https://bugs.launchpad.net/ubuntu/+source/gnutls28/+bug/1860656</a><br>
<br>
<br>
--<br>
Regards,<br>
<br>
Dimitri.<br>
</blockquote></div>