Erro no openssl do debian 12 cifras legadas foram desabilitadas

[duzzk1]

Algumas cifras legadas foram desabilitadas na versão openssl do Debian 12 incluindo a que é utilizada pelos certificados A1.

A solução mais indicada pela comunidade é habitar o modo Legacy da OpenSSL para ser compatível com versões anteriores dela.

Para não precisarmos reabilitar cifras legadas diretamente no servidor, ativando diversas outras que não são recomendadas, durante a execução, pode-se adicionar o argumento -legacy ao comando

Ex:

openssl pkcs12 -in /var/www/includes/nfe/certs/arquivo.pfx -info -noout -legacy

Seria viável essa alteração no pacote para que não ocorresse mais o erro no Debian 12?

Isso já foi discutindo dentro do PHP:
php/php-src#12128

Aqui tem uma solução para aplicar via código:
https://github.com/LibreSign/libresign/pull/2717/files#diff-2bc727a7634b02115b2a3921797f1eb93adefdbfd70ca269a77d07882c06a468R143

Aqui a solução em outra biblioteca também:
JSignPdf/jsignpdf-php@b87b86e#diff-c4e441112e270c831f4dc03952a16d5f45fd6da2bfe6ea95b7ab9bc5929765b9R156

Na Doc do PHP também tem uma explicação:
https://www.php.net/manual/en/function.openssl-pkcs12-read.php#128941

[denisgianne]

Problemas com chave PFX para envio do esocial

É sabido que arquivos .pfx com versões legadas como openssl 1.0 pode gerar problema na leitura quando usado via openssl v3

Para gerar um arquivo .pfx atualizado, você pode seguir os seguintes passos

Extrair os dados do certificado.pfx, tanto os certificado (principal e intermediários) usando a opção de legado

openssl pkcs12 -in certificado.pfx -out certificado.pem -nodes --legacy

Extrair a key (utilizando o .pem extraído)

openssl rsa -in certificado.pem -out key.pem

Gerar o novo .pfx utilizando os arquivos

openssl pkcs12 -export -out novo_certificado.pfx -inkey key.pem -in certificado.pem -certfile certificado.pem