Mastodawn

If you're using #GnuTLS please note that GnuTLS defaults to weak security profile:

"The message authenticity security level is of 64 bits or more, and the certificate verification profile is set to GNUTLS_PROFILE_LOW (80-bits)."

This means for example that Diffie-Hellman group size of 1024-bits is allowed. This was deemed insufficient already 10 years ago. See https://weakdh.org/

This issue will be remedied in future GnuTLS release. Meanwhile the fix is to inject %PROFILE_MEDIUM as part of the priority string, for example "NORMAL:foo" becomes "NORMAL:%PROFILE_MEDIUM:foo". See https://gnutls.org/manual/html_node/Priority-Strings.html for details.

#insecuredefaults #cybersecurity #infosec #development

openSUSE Linux Sep 12

August Tumbleweed includes fixes for several #CVEs. This like #GnuTLS heap overflows, and #PostgreSQL code execution. Roll and stay protected. https://news.opensuse.org/2025/09/02/tw-monthly-update-august/

Tumbleweed Monthly Update - August 2025

Several software packages were updated in openSUSE Tumbleweed during August that brought new features, performance improvements and some important security f...

openSUSE News

Alexander Sosedkin

Aug 4

My colleague Daiki Ueno has written a blog post on #gnutls CI struggles after the project lost its GitLab.com Open Source Program subscription, and, against my salty snickering suggestions, settled on a title much less clickbaity than "GnuTLS considers migrating to GitHub".

https://blogs.gnome.org/dueno/optimizing-ci-resource-usage-in-upstream-projects

The most-comprehensive AI-powered DevSecOps platform

From planning to production, bring teams together in one application. Ship secure code more efficiently to deliver value faster.

about.gitlab.com

Clemens May 15, 2025

It's not just @bagder who gets incorrect bug reports generated by #AI for #curl. This time, it's #GnuTLS at https://gitlab.com/gnutls/gnutls/-/issues/1711.

What a waste of time :/

GnuTLS incorrectly accepts certificates with mismatched Common Name (CN) during TLS handshake (#1711) · Issues · gnutls / GnuTLS · GitLab

Description of problem: During testing of GnuTLS certificate verification, we observed that gnutls-cli accepts a server certificate whose Common Name (CN)...

GitLab

Vitex May 10, 2025

#apt-listchanges: News
---------------------

#curl (8.13.0-2) unstable; urgency=medium

The curl #CLI is now back to using #OpenSSL, instead of #GnuTLS:
HTTP/3 support is still there, compared to the GnuTLS curl CLI.
The performance of HTTP/3 on OpenSSL is not as good, but it's also not used
by default.

-- Samuel Henrique <samueloph@debian.org> Sun, 06 Apr 2025 22:13:18 +0100

#Linux #Debian 13 #Trixie news

wolfSSL Embedded SSL/TLS; FIPS 140-3 Apr 3, 2025

#curl 8.13.0 is here — and it broke records! - 300+ bugfixes - 501 commits - New features like --url from file, TLS 1.3 early data, base64 decoding, & more across wolfSSL, #rustls, #OpenSSL & #gnutls! Watch the release stream: youtu.be/Jor0z31fyNw... @bagder.mastodon.social.ap.brid.gy

Bluesky

Bluesky Social

Daltux Feb 10, 2025

📰 Apareceram notícias sobre o pacote curl, ao atualizá-lo hoje no #Debian #sid (unstable) e que achei interessantes compartilhar. É o anúncio de alterações importantes, aparentemente entrando em efeito agora e iniciadas alguns meses atrás pelos mantenedores, em suma:

- O utilitário curl, a partir da versão 8.8.0-2, passa a suportar HTTP/3, com os parâmetros --http3 ou --http3-only. Para conseguir isso, o programa agora passa a utilizar GnuTLS no lugar de OpenSSL. Ainda fornecerão uma variação de libcurl que continua usando OpenSSL.

- Incluíram o comando wcurl (veja seu manual) que facilita baixar um arquivo sem precisar lembrar os parâmetros do curl. Pode ser chamado no lugar dos usos mais simples de wget.

O conteúdo completo da mensagem está em https://metadata.ftp-master.debian.org/changelogs/main/c/curl/curl_8.12.0+git20250209.89ed161+ds-1_curl.NEWS

#curl #http3 #gnutls #openssl #gnu #softwareLivre

Debian -- Details of package curl in sid

command line tool for transferring data with URL syntax

BSI WID Advisories Feed Feb 10, 2025

#BSI WID-SEC-2025-0302: [NEU] [UNGEPATCHT] [mittel] #GnuTLS: Schwachstelle ermöglicht Denial of Service

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in GnuTLS ausnutzen, um einen Denial of Service Angriff durchzuführen.

https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0302

Warn- und Informationsdienst

Renewable Sexcellence Feb 2, 2025

While updating my #Debian Trixie desktop, I note several packages changing from #GnuTLS to #OpenSSL. Is there a reason for this?

I thought people were trying to get away from OpenSSL over issues with complexity and bugs.

🅴🆁🆄🅰 🇷🇺Oct 26, 2024

Обновился #OpenSSL до 3.4.0 и опять без полноценной нормальной поддержки #QUIC, т.е. непригодный для #HTTP/3 на серверной стороне. И, соответственно, ещё не ясно на сколько хорошо сделана клиентская часть :)
Аж вспомнились времена, когда желая получить #curl поддерживающий нормально работу #HTTP/3 приходилось собирать его из исходников с аналогами/форками #OpenSSL.

#HTTP/3 работает не через tcp-соединения, а использует в качестве транспорта протокол QUIC (Quick UDP Internet Connections), т.е. передаёт данные поверх udp без использования абстракций и сущностей tcp. Вот картинка про современный #HTTP

Сам по себе #QUIC не умеет передавать данные в открытом виде, а может только через #TLS v1.3, т.е. в обязательном порядке только зашифрованные. Тем самым в QUIC используется встроенный вариант TLS 1.3 крайне близкий/схожий с #DTLS, поскольку работа протокола идёт на уровне обмена udp-пакетами, а не tcp-соединений.

#curl может использовать разные альтернативы OpenSSL, т.к. изначально спроектирован таким образом, что не завязан именно на OpenSSL:

Есть официальная документация что и как с бэкендами вообще.
Рядом, примерно там же имеется сравнение разных криптографических бэкендов.

Что предлагают по HTTP/3 авторы curl?
Вот зелёным выделена комбинация библиотек, которую полагают наиболее стабильным и полноценным вариантом
Вся загвоздка в том, что #OpenSSL пытается содержать в себе реализацию #QUIC, а не использует реализацию в виде какой-то библиотеки.

Что получается в целом?
Протокол #HTTP/3 реализуется через библиотеку #nghttp3.
Необходимая реализация #QUIC через #ngtcp2.
А для TLS используется #GnuTLS или же #wolfSSL или что-то ещё:
The OpenSSL forks #LibreSSL, #BoringSSL, #AWS-LC and #quictls support the QUIC API that #curl works with using #ngtcp2.
Вот из документация примеры и детали по сборке этих составляющих. Если выбрана #GnuTLS и в системе версия далёкая от свежих, то сама она довольно быстро собирается из исходников.

В целом, вообще, про варианты добавления поддержки #HTTP/3 очень достойно расписано здесь. И есть перевод этой публикации на русском языке.

#https #http #openssl #softwaredevelopment #lang_ru @Russia