<div dir="auto">I think apt pinning down the update is the best option you have for now.<div dir="auto"><br></div><div dir="auto">In gnutls master, I have added a straight forward default priority barring override, such that if something like this happens in 20.04 LTS there will be a straight forward to apply a different global default.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 30 Jan 2020, 17:35 Brandon Sawyers, <<a href="mailto:brandor5@gmail.com">brandor5@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Yes that's the conclusion we came to as well.<div dir="auto"><br></div><div dir="auto">Our plan is to hold updates to libgnutls30 until we can update the bad cert.</div><div dir="auto"><br></div><div dir="auto">Thanks,</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jan 30, 2020, 04:33 Nikos Mavrogiannopoulos <<a href="mailto:nmav@gnutls.org" target="_blank" rel="noreferrer">nmav@gnutls.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I do not think (but please correct me), that this version of ubuntu<br>
you're using has something like a system-wide policy, so it will not<br>
be possible to change the sha1 acceptance system-wide. In that case it<br>
will be more effective to try and change the priority string on the<br>
specific applications you are interested. The newer versions of gnutls<br>
have a more powerful configuration that can be used to implement a<br>
modifiable system-wide policy.<br>
<br>
regards,<br>
Nikos<br>
<br>
On Mon, Jan 27, 2020 at 5:29 AM Brandon Sawyers <<a href="mailto:brandor5@gmail.com" rel="noreferrer noreferrer" target="_blank">brandor5@gmail.com</a>> wrote:<br>
><br>
> Sorry, I should have made it clear before.<br>
><br>
> I've tried putting the string in both /etc/gnutls/config and /etc/gnutls/default-priorites according to the docs I found but, neither worked.<br>
><br>
> Thanks,<br>
><br>
> On Sun, Jan 26, 2020, 17:18 Brandon Sawyers <<a href="mailto:brandor5@gmail.com" rel="noreferrer noreferrer" target="_blank">brandor5@gmail.com</a>> wrote:<br>
>><br>
>> Thanks for the help.<br>
>><br>
>> We are already in the process of updating so of the certs. Thanks for the reminder.<br>
>><br>
>> Now I just need to figure out how to have the priority strong apply system wide instead of just gnutls-cli.<br>
>><br>
>> Any tips there?<br>
>><br>
>> Thanks again,<br>
>> Brandon<br>
>><br>
>><br>
>><br>
>> On Sun, Jan 26, 2020, 16:56 Dimitri John Ledkov <<a href="mailto:xnox@ubuntu.com" rel="noreferrer noreferrer" target="_blank">xnox@ubuntu.com</a>> wrote:<br>
>>><br>
>>> On Thu, 23 Jan 2020 at 12:16, Dimitri John Ledkov <<a href="mailto:xnox@ubuntu.com" rel="noreferrer noreferrer" target="_blank">xnox@ubuntu.com</a>> wrote:<br>
>>> ><br>
>>> > On Thu, 23 Jan 2020 at 14:01, Nikos Mavrogiannopoulos <<a href="mailto:nmav@gnutls.org" rel="noreferrer noreferrer" target="_blank">nmav@gnutls.org</a>> wrote:<br>
>>> > ><br>
>>> > > On Wed, Jan 22, 2020 at 3:42 PM Brandon Sawyers <<a href="mailto:brandor5@gmail.com" rel="noreferrer noreferrer" target="_blank">brandor5@gmail.com</a>> wrote:<br>
>>> > > ><br>
>>> > > > Hello everyone:<br>
>>> > > ><br>
>>> > > > A recent package upgrade in ubuntu 1604 (v3.4.10-4ubuntu1.6) and 1804 (v3.5.18-1ubuntu1.2) has left us without SHA1 support. Since we are still in the process of migrating our last services off of SHA1 with a target date of April this has put us in a pickle.<br>
>>> > > ><br>
>>> > > > From reading the docs I expect I should be able to use priority and allow SHA1 to function, however making this work has been rather frustrating.<br>
>>> > > ><br>
>>> > > > I've tried several different versions of the following command but I would expect just having "NORMAL:+SIGN-RSA-SHA1:+SHA1" priority set should work.<br>
>>> > > ><br>
>>> > > > `gnutls-bin --x509cafile ./cachain-with-sha1-signed-cert.pem --priority='NORMAL:+SIGN-RSA-SHA1:+SHA1' -p 636 <a href="http://internal.directory.org" rel="noreferrer noreferrer noreferrer" target="_blank">internal.directory.org</a>`<br>
>>> > ><br>
>>> > > Have you tried appending %VERIFY_ALLOW_SIGN_WITH_SHA1? The available<br>
>>> > > priority strings are documented in:<br>
>>> > > <a href="https://gnutls.org/manual/html_node/Priority-Strings.html" rel="noreferrer noreferrer noreferrer" target="_blank">https://gnutls.org/manual/html_node/Priority-Strings.html</a><br>
>>> > ><br>
>>> ><br>
>>> > From what I can tell is that the backports do not include that<br>
>>> > flag.... I'm escalating this, as this is regression-security as I do<br>
>>> > not believe that upstream code is affected as this is an issue in the<br>
>>> > patch set released in ubuntu.<br>
>>> ><br>
>>> > I hope to move this discussion downstream to<br>
>>> > <a href="https://bugs.launchpad.net/ubuntu/+source/gnutls28/+bug/1860656" rel="noreferrer noreferrer noreferrer" target="_blank">https://bugs.launchpad.net/ubuntu/+source/gnutls28/+bug/1860656</a><br>
>>> ><br>
>>><br>
>>> To close this out, a further update got published to the affected<br>
>>> releases which adds support to use "%VERIFY_ALLOW_BROKEN" and<br>
>>> "%VERIFY_ALLOW_SIGN_WITH_SHA1" in the priority string option, allowing<br>
>>> one to re-enable obsoleted hashes in certificate signatures.<br>
>>><br>
>>> But please upgrade your certificates to use SHA256 nonetheless as<br>
>>> progressively more software will start outright reject SHA1<br>
>>> certificates without a way to turn them back on.<br>
>>><br>
>>> --<br>
>>> Regards,<br>
>>><br>
>>> Dimitri.<br>
><br>
> _______________________________________________<br>
> Gnutls-help mailing list<br>
> <a href="mailto:Gnutls-help@lists.gnutls.org" rel="noreferrer noreferrer" target="_blank">Gnutls-help@lists.gnutls.org</a><br>
> <a href="http://lists.gnupg.org/mailman/listinfo/gnutls-help" rel="noreferrer noreferrer noreferrer" target="_blank">http://lists.gnupg.org/mailman/listinfo/gnutls-help</a><br>
</blockquote></div>
</blockquote></div>