<div dir="ltr"><div>Package: openssl</div><div>Version: 1.1.1~~pre9-1</div><div>Severity: important</div><div><br></div><div>Dear Maintainer,</div><div>version 1.1.1~~pre9-1 of the openssl package breaks wpa_supplicant (and</div><div>NetworkManager) when using EAP TLS connections. In particular, launching:</div><div><br></div><div>> wpa_supplicant -dd -i wlp2s0 -c ./eduroam.conf</div><div><br></div><div>where /eduroam.conf is:</div><div><br></div><div>network={</div><div>  ssid="eduroam"</div><div>  key_mgmt=WPA-EAP</div><div>  pairwise=CCMP</div><div>  group=CCMP TKIP</div><div>  eap=TLS</div><div>  ca_cert="/tmp/ca.pem"</div><div>  identity="xxx@xxx.xx"</div><div>  domain_suffix_match="<a href="http://wifi.polimi.it">wifi.polimi.it</a>"</div><div>  private_key="/tmp/wifiCert_nopass.p12"</div><div>  private_key_passwd=""</div><div>}</div><div><br></div><div>I get the error (excerpt of the wpa_supplicant log, with username changed to</div><div>avoid disclosing sensitive info)</div><div><br></div><div>...</div><div>EAP: EAP entering state GET_METHOD</div><div>wlp2s0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=13</div><div>EAP: Status notification: accept proposed method (param=TLS)</div><div>EAP: Initialize selected EAP method: vendor 0 method 13 (TLS)</div><div>TLS: using phase1 config options</div><div>TLS: Trusted root certificate(s) loaded</div><div>TLS: Successfully parsed PKCS12 data</div><div>TLS: Got certificate from PKCS12: subject='/C=IT/ST=Lombardia/L=Milano/O=Politecnico di Milano/OU=Area Sistemi ICT/CN=xxx@xxx.xx'</div><div>TLS: Got private key from PKCS12</div><div>TLS - SSL error: error:140C618F:SSL routines:SSL_use_certificate:ee key too small</div><div>OpenSSL: tls_connection_private_key - Failed to load private key error:00000000:lib(0):func(0):reason(0)</div><div>TLS: Failed to load private key '/home/cugola/wifiCert_nopass.p12'</div><div>TLS: Failed to set TLS connection parameters</div><div>ENGINE: engine deinit</div><div>...</div><div><br></div><div>If I go back to openssl_1.1.0h-4_amd64.deb everything works fine. Here is</div><div>the same excerpt above when old version of the package is used:</div><div><br></div><div>...</div><div>EAP: EAP entering state GET_METHOD</div><div>wlp2s0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=13</div><div>EAP: Status notification: accept proposed method (param=TLS)</div><div>EAP: Initialize selected EAP method: vendor 0 method 13 (TLS)</div><div>TLS: using phase1 config options</div><div>TLS: Trusted root certificate(s) loaded</div><div>TLS: Successfully parsed PKCS12 data</div><div>TLS: Got certificate from PKCS12: subject='/C=IT/ST=Lombardia/L=Milano/O=Politecnico di Milano/OU=Area Sistemi ICT/CN=xxx@xxx.xx'</div><div>TLS: Got private key from PKCS12</div><div>OpenSSL: Reading PKCS#12 file --> OK</div><div>SSL: Private key loaded successfully</div><div>wlp2s0: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 13 (TLS) selected</div><div>EAP: EAP entering state METHOD</div><div>...</div><div><br></div><div>Please, do not hesitate contacting me for further tests.</div><div><br></div><div>Regards</div><div>  G.</div><div><br></div><div>-- System Information:</div><div>Debian Release: buster/sid</div><div>  APT prefers stable-updates</div><div>  APT policy: (500, 'stable-updates'), (500, 'unstable'), (500, 'testing'), (500, 'stable'), (1, 'experimental')</div><div>Architecture: amd64 (x86_64)</div><div>Foreign Architectures: i386</div><div><br></div><div>Kernel: Linux 4.18.5-xps13 (SMP w/8 CPU cores; PREEMPT)</div><div>Locale: LANG=en_US.utf8, LC_CTYPE=en_US.utf8 (charmap=UTF-8), LANGUAGE=en_US:en (charmap=UTF-8)</div><div>Shell: /bin/sh linked to /bin/dash</div><div>Init: systemd (via /run/systemd/system)</div><div><br></div><div>Versions of packages openssl depends on:</div><div>ii  libc6      2.27-5</div><div>ii  libssl1.1  1.1.1~~pre9-1</div><div><br></div><div>openssl recommends no packages.</div><div><br></div><div>Versions of packages openssl suggests:</div><div>ii  ca-certificates  20180409</div><div><br></div><div>-- no debconf information</div><div><br></div></div>