<div dir="ltr"><div dir="ltr"><div dir="ltr">Control: severity 909974 important</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jan 11, 2019 at 10:15 AM Felipe Sateler <<a href="mailto:fsateler@debian.org">fsateler@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Oct 2, 2018 at 4:22 PM Felipe Sateler <<a href="mailto:fsateler@debian.org" target="_blank">fsateler@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Hi Matthias, Ivo,</div><div><br></div>On Sun, 30 Sep 2018 22:59:26 +0200 Ivo De Decker <<a href="mailto:ivodd@debian.org" target="_blank">ivodd@debian.org</a>> wrote:<br>> clone 869896 -1<br>> retitle -1 remove unneeded dependency on backports.ssl-match-hostname<br>> block 869896 by -1<br>> clone -1 -2 -3 -4 -5<br>> reassign -1 libcloud<br>> reassign -2 python-docker<br>> reassign -3 websocket-client<br>> reassign -4 docker-compose<br>> reassign -5 sagemath<br>> thanks</div></div></div></blockquote><div><br></div><div>Turns out the version of match_hostname in py2 does not accept ip addresses:</div><div><br></div><div><div>py2:<br></div><div>ssl.match_hostname = match_hostname(cert, hostname)<br></div><div>    Verify that *cert* (in decoded format as returned by</div><div>    SSLSocket.getpeercert()) matches the *hostname*.  RFC 2818 and RFC 6125</div><div>    rules are followed, but IP addresses are not accepted for *hostname*.</div><div>    </div><div>    CertificateError is raised on failure. On success, the function</div><div>    returns nothing.</div><div><br></div><div>py3</div><div>ssl.match_hostname = match_hostname(cert, hostname)<br></div><div>    Verify that *cert* (in decoded format as returned by</div><div>    SSLSocket.getpeercert()) matches the *hostname*.  RFC 2818 and RFC 6125</div><div>    rules are followed.</div><div>    </div><div>    The function matches IP addresses rather than dNSNames if hostname is a</div><div>    valid ipaddress string. IPv4 addresses are supported on all platforms.</div><div>    IPv6 addresses are supported on platforms with IPv6 support (AF_INET6</div><div>    and inet_pton).</div><div>    </div><div>    CertificateError is raised on failure. On success, the function</div><div>    returns nothing.</div><div><br></div></div></div><div>So, if python2 backport of match_hostname does not match behavior of python3.5, I cannot drop the dependency. I have reverted the change and reopened this bug.</div><div><br></div><div>I urge you to reconsider if the py2 version really needs to be dropped.</div><div><br></div></div></div></div></blockquote><div><br></div><div>I'm downgrading severity to prevent autoremoval. I don't think ssl-match-hostname can be dropped from buster. </div></div>-- <br><div dir="ltr" class="gmail_signature"><br>Saludos,<br>Felipe Sateler</div></div>