La seguretat de les comunicacions de xarxa és una alta prioritat per al projecte Fedora, amb un TLS fort que proporciona la primera línia de defensa contra la inspecció del trànsit. Dos sistemes que negocien una connexió TLS han d’acordar un xifratge comú per xifrar les seves comunicacions i, a mesura que els xifratges queden obsolets, és important excloure’ls.

Els xifratges que un administrador podria considerar adequadament segurs estan determinats per les vulnerabilitats publicades contra xifratges específics. El conjunt de xifratge acceptable s’aplica a totes les comunicacions a Internet i no és específic de cap sistema o dimoni. Per facilitar l’administració i augmentar la confiança de l’administrador en la postura de seguretat del sistema, Fedora ha estat configurant diversos programes per utilitzar una configuració global del sistema de manera que els xifratges TLS només s’hagin d’actualitzar en un sol lloc.

Amb Fedora 26, dues coses més utilitzaran la política criptogràfica de tot el sistema, OpenSSH i Java.

Els clients OpenSSH utilitzaran els algorismes d’intercanvi de claus preferits del sistema, els xifratges de xifratge i els algorismes de codi d’autenticació de missatges (MAC). Això s’habilita mitjançant una directiva Include a /etc/ssh/ssh_config per incloure directives a /etc/ssh/ssh_config.d/*.conf, que incorpora /etc/crypto-policies/back-ends/openssh.config.

OpenJDK s’ha modificat per llegir propietats de seguretat addicionals del fitxer de polítiques criptogràfiques generat a /etc/crypto-policies/back-ends/java.config

Aquest canvi pot afectar les connexions a sistemes heretats que no admeten polítiques criptogràfiques més estrictes. Tot i que és possible canviar el perfil del sistema de DEFAULT a LEGACY, o establir security.useSystemPropertiesFile=false al fitxer java.security d’un projecte (consulteu https://docs.oracle.com/javase/8/docs/technotes/guides/security/PolicyFiles.html), seria millor actualitzar també les aplicacions heretades als estàndards de seguretat moderns.

La introducció d’OpenSSL 1.1.0 a Fedora 26 aporta moltes grans millores, nous algorismes criptogràfics i canvis d’API que permeten mantenir l’ABI estable en futures actualitzacions. També hi ha ara un paquet compat-openssl10 a Fedora que proporciona OpenSSL 1.0.2 per a aplicacions dependents que encara no poden passar a 1.1.0.

Hi ha més informació sobre OpenSSL 1.1.0 a la wiki d’OpenSSL.

Fedora 26 no envia el mòdul Coolkey PKCS#11 a la base de dades NSS per defecte. En canvi, hi haurà el mòdul OpenSC PKCS#11, que admet més targetes intel·ligents diferents. El paquet Coolkey s’eliminarà a Fedora 27. Si altres aplicacions utilitzaven Coolkey, haurien de poder canviar a OpenSC.

En cas que encara necessiteu Coolkey a la base de dades NSS, podeu afegir-lo manualment utilitzant modutil -dbdir /etc/pki/nssdb -add "CoolKey PKCS #11 Module (manual)" -libfile libcoolkeypk11.so -force (s’utilitza el nom diferent per evitar eliminacions automàtiques en actualitzar el paquet coolkey).

Aviat (durant el cicle F26) hi haurà una actualització 0.17.0 completa a OpenSC amb totes les característiques i targetes provades que haurien de servir com a reemplaçament complet de Coolkey.

SSSD s’ha enviat amb una memòria cau molt ràpida en les últimes versions de Fedora. Tanmateix, l’ús d’aquesta memòria cau entra en conflicte amb la memòria cau de nscd i nscd s’ha desactivat per defecte. Això degrada el rendiment, perquè cada cerca d’usuari o grup ha d’obrir els fitxers locals.

A partir de Fedora 26, un nou proveïdor de "fitxers" SSSD resoldrà els usuaris dels fitxers locals. D’aquesta manera, el mòdul NSS "sss" es pot configurar abans del mòdul de fitxers a nsswitch.conf i el sistema pot aprofitar la memòria cau sss_nss tant per a usuaris locals com remots. Com a resultat, la resolució d’usuaris i grups a Fedora serà molt més ràpida.

S’ha eliminat el codi obsolet i no mantenible de authconfig. Notablement:

L’esforç d’eliminació s’està produint perquè els entorns moderns actuals admeten la configuració automàtica d’identitats d’usuari remotes utilitzant Realmd i SSSD i no requereixen configuració manual mitjançant una interfície interactiva com system-config-authentication. Part de la funcionalitat de línia d’ordres authconfig existent s’està preservant perquè encara conserva certa utilitat en determinats entorns, i per donar suport a l’ordre auth a Kickstart. Eliminar parts de la base de codi que ja no són mantenibles fa que sigui més fàcil continuar proporcionant aquesta funcionalitat.