EG> Повторяю мысль: объявлению о том, что DSS пользоваться не надо, EG> порядка 10 лет. Последние годы оно поддерживалось исключительно EG> в виде "переходного периода". А в motd все возможные incompatible EG> changes из OpenSSH ChangeLog, из OpenSSL, из Heimdail etc. не EG> засунешь.
"Повторяю мысль": админ/юзер, который о криптографии хочет и может знать только то, что она достаточно надёжна для его задач, может и не помнить, что DSS чем-то с точки зрения спецов плох. Это не его задача.
Я даже больше скажу - я, как следящий одним ухом за этими процессами, ожидал, что RSA будет выпилен, а DSS останется, потому что про неизбежный крах RSA разве что из утюга не вещали. И именно это вещали ~10 лет назад (так что в рассказе про сроки ты, мягко говоря, лукавишь). Тенденция на выключение именно DSS при оставлении RSA(!) - это не более последних 5 лет. А это уже как раз срок обновления системы для тех, кто старается сидеть на работающем до последнего.
И если происходит такое критическое удаление компонента из инфраструктуры, где отказ доступа может приводить к серьёзнейшим затратам на его восстановление - об этом _должны_ предупреждать заранее и плотно, и никак не где-то внутри одного продукта.
Hапример, меня бы устроила тут жалоба в каждом security run output. Почему вот такое для какого-то хреноминорного модуля сделали:
p5-Net-SMTP-SSL-1.04: Tag: expiration_date Value: 2017-03-31 p5-Net-SMTP-SSL-1.04: Tag: deprecated Value: Deprecated by upstream, use Net::SMTP instead
а для SSH - молчат?
-netch-
... Встрял перст в ноздрь...
--- * Origin: Dark side of coredump (2:463/68.300)
