<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>On Mon, 3 Sep 2018 22:24:29 +0200 Kurt Roeckx <<a href="mailto:kurt@roeckx.be">kurt@roeckx.be</a>> wrote:</div><div>> The fix it to tell your administrator to use 2048 (or more) bit</div><div>> keys. I assume there are certificates on both sides, so they both</div><div>> need to get replaced.</div><div>> </div><div>> You can work around this issue by putting something like this in</div><div>> your config file:</div><div>> openssl_ciphers=DEFAULT@SECLEVEL=1</div><div><br></div><div>Dear kurt, thanks a lot for the quick reply. Unfortunately:</div><div><br></div><div>1. Administrators of big organizations are usually reluctant to change their certificates</div><div>2. The suggested workaround works (thanks again) for wpa_supplicant but NetworkManager (which is used by most linux distros) cannot pass the "openssl_ciphers" flag to wpa_supplicant.</div><div><br></div><div>On the other hand, starting from your suggestion, I found a workaround that changes the cipher globally. I report it below for other users.</div><div><br></div><div>It is just a matter of editing file /etc/ssl/openssl.cnf changing last line from:</div><div>CipherString = DEFAULT@SECLEVEL=2</div><div>to</div><div>CipherString = DEFAULT@SECLEVEL=1</div><div><br></div><div>I know, this impact the global security of your linux box, but it was the standard up to August, when OpenSSL 1.1.1 was released, so it should not be a big problem for most users :-)</div><div><br></div><div>  Gianpaolo</div></div></div></div></div></div></div>