Bezpečnostní tým v Red Hatu dlouhodobě pracuje na tom, aby Fedora byla bezpečným systémem. Jedním z nástrojů je udržování celosystémové kryptografické politiky, která zakazuje kryptografické protokoly a metody, které jsou dnes považované za rizikové nebo přímo nebezpečné. Aktualizace této politiky ve Fedoře 33 zakázala v systémových komponentách a aplikacích používání následujícího:

  • TLS 1.0 a 1.1,
  • Velikosti vyměňovaných klíčů u metod Diffie-Hellman a RSA menší než 2048,
  • Používání SHA-1 hashů v podpisech (certifikáty X.509, handshaky TLS a IPSEC).

Tato změna proběhla bez většího zájmu uživatelů, ale jak se ukazuje, určitého počtu z nich se dotýká. Přitom nikoho nenapadne, že by mohl být problém právě v přísnější kryptografické politice. Pokud jste po upgradu na Fedoru 33 narazili na to, že se nemůžete připojit k šifrované WiFi, VPN apod., které jste dosud bez problémů používali, je to velmi pravděpodobně způsobené přísnější politikou. Vrátit politiku na hodnoty z Fedory 32 můžete následujícím příkazem:

update-crypto-policies --set DEFAULT:FEDORA32

Pokud potřebujete používat protokoly a metody, které nevyhovují ani politice ve Fedoře 32, můžete ještě o něco více snížit laťku příkazem:

update-crypto-policies --set LEGACY

Tyto změny politiky byste ale měli používat jako dočasné řešení a pokud máte tu možnost, ideálně kontaktovat správce služby, aby ji adekvátně zabezpečil. Zároveň platí, že s těmito politikami budou systémové komponenty vždy preferovat novější a bezpečné metody, pokud je protistrana vedle těch starých podporuje.