/mandos/trunk

To get this branch, use:
bzr branch /loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-options.xml

  • Committer: Teddy Hogeborn
  • Date: 2015-07-20 03:03:33 UTC
  • Revision ID: teddy@recompile.se-20150720030333-203m2aeblypcsfte
Bug fix for GnuTLS 3: be compatible with old 2048-bit DSA keys.

The mandos-keygen program in Mandos version 1.6.0 and older generated
2048-bit DSA keys, and when GnuTLS uses these it has trouble
connecting using the Mandos default priority string.  This was
previously fixed in Mandos 1.6.2, but the bug reappeared when using
GnuTLS 3, so the default priority string has to change again; this
time also the Mandos client has to change its default, so now the
server and the client should use the same default priority string:

SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA:+SIGN-DSA-SHA256

* mandos (main/server_defaults): Changed default priority string.
* mandos-options.xml (/section/para[id="priority_compat"]): Removed.
  (/section/para[id="priority"]): Changed default priority string.
* mandos.conf ([DEFAULT]/priority): - '' -
* mandos.conf.xml (OPTIONS/priority): Refer to the id "priority"
                                      instead of "priority_compat".
* mandos.xml (OPTIONS/--priority): - '' -
* plugins.d/mandos-client.c (main): Changed default priority string.

Show diffs side-by-side

added added

removed removed

46
46
    <emphasis>not</emphasis> run in debug mode.
47
47
  </para>
48
48
  
49
 
  <para id="priority_compat">
 
49
  <para id="priority">
50
50
    GnuTLS priority string for the <acronym>TLS</acronym> handshake.
51
51
    The default is <quote><literal
52
52
    >SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA</literal>
53
 
    <literal>:+SIGN-RSA-SHA224:+SIGN-RSA-RMD160</literal></quote>.
54
 
    See <citerefentry><refentrytitle
55
 
    >gnutls_priority_init</refentrytitle>
56
 
    <manvolnum>3</manvolnum></citerefentry> for the syntax.
57
 
    <emphasis>Warning</emphasis>: changing this may make the
58
 
    <acronym>TLS</acronym> handshake fail, making server-client
59
 
    communication impossible.  Changing this option may also make the
60
 
    network traffic decryptable by an attacker.
61
 
  </para>
62
 
  
63
 
  <para id="priority">
64
 
    GnuTLS priority string for the <acronym>TLS</acronym> handshake.
65
 
    The default is <quote><literal
66
 
    >SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA</literal></quote>.
 
53
    <literal>:+SIGN-DSA-SHA256</literal></quote>.
67
54
    See <citerefentry><refentrytitle
68
55
    >gnutls_priority_init</refentrytitle>
69
56
    <manvolnum>3</manvolnum></citerefentry> for the syntax.