ALT Linux Team development discussions
 help / color / mirror / Atom feed
From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Devel discussion list <devel@lists.altlinux.org>
Subject: Re: [devel] Q: SSL/TLS in ALT Linux
Date: Sun, 4 Feb 2007 01:16:25 +0300
Message-ID: <20070203221625.GD15565@basalt.office.altlinux.org> (raw)
In-Reply-To: <45B460AF.9020005@altlinux.org>

[-- Attachment #1: Type: text/plain, Size: 5838 bytes --]

Обсуждение SSL/TLS policy с прошлого месяца, цитирую полностью.

On Mon, Jan 22, 2007 at 09:58:55AM +0300, Mikhail Yakshin wrote:
> Dmitry V. Levin wrote:
> 
> >> Предлагаю сделать нечто вроде SSL policy и закрепить в ней примерно
> >> следующие основные пункты:
> >>
> >> ==========================================================================
> >>
> >> 1. Существует ALT root CA, принадлежащий ООО (как и все остальные
> >> основные подписи и ключи по репозитариями и по проекту в целом).
> > 
> > Я сомневаюсь в том, что всё это принадлежит OOO.
> 
> Кому сейчас принадлежат GPG-ключи, которыми подписывается репозитарий,
> пакет openssl и защищаемые сервера *.altlinux.*? Как это лучше
> переформулировать?

Я не знаю, как это лучше переформулировать.  Нужна помощь.

> >> 1.1. Сертификат имеет CN=<такой-то>, OU=<такой-то>, O=<такой-то>,
> >> C=<такой-то> (и т.п.)
> >> 1.2. Срок действия CA устанавливается в <X> лет.
> > 
> > А какой срок является традиционным?  3 года?  5 лет?
> 
> Ну, вообще, из практики - у коммерческих CA этот срок очень сильно
> отличается. Вменяемые и серьезные CA имеют 10 лет, а
> среднеестатистические - где-то от 20 лет, а то и под 30.
> 
> Большинство самоподписанных сертификатов генерируются часто для галочки
> и имеют фактически неограниченный срок действия.
> 
> В свое время Thawte и VeriSign на этом очень погорели, когда выпустили
> свои первые сертификаты с первыми версиями Netscape на 5 или на 7 лет,
> кажется - и потом вдруг столкнулись с тем, что сертификат уже кончается,
> а масса народа не обновляло браузеры с тех пор и, вообще говоря, как-то
> не особенно планирует обновлять.
> 
> Регенерация сертификата CA - даже для нас - я так понимаю, это довольно
> нетривиальный набор действий (если только не придумать некий макрос в
> RPM, который бы добавлял его автоматически - тогда можно было бы
> пересобирать все нужные пакеты роботом и все), а для коммерческих CA -
> так совсем неподъемная задача.
> 
> Так что, думаю, разумным будет установить этот срок в 10 лет и придумать
> некую обвязку, которая бы позволила все пакеты, носящие в себе этот
> сертификат быстро пересобрать?

OK, пусть будет 10 лет, тогда торопиться с обвязкой не потребуется. :)

> >> 1.3. Его поддержанием, регенерацией, выписыванием сертификатов
> >> занимается <видимо, кто-то из суппорта?>
> > 
> > Это мы уже проходили.  К сожалению, в суппорте для этого слишком низкая
> > мера ответственности.  Думаю что security@altlinux для этого лучше
> > подходит.
> 
> Согласен.

OK

> >> 1.4. Регенерация делается за <полгода> до окончания срока действия
> >> очередного основного CA: генерируется новый сертификат и в эти полгода
> >> все носят 2 сертификата. Старый сертификат выкидывается отовсюду по
> >> возможности, как его срок действия совсем заканчивается.
> > 
> > Судя по опыту замены gpg-ключей, полгода будет мало.  Лучше если год.
> 
> Согласен.

OK

> >> 1.5. Сертификат всегда доступен для скачивания с
> >> <https://tls.altlinux.org>, а также в пакете openssl (из тех
> >> соображений, что он у нас наиболее системообразующий).
> >>
> >> 2. Все https-серверы и XMMP-серверы ALT (как минимум, перечисленные в
> >> gory details в первом письме) используют сертификаты, выписанные этим
> >> ALT root CA.
> >>
> >> 2.1. Сертификаты должны иметь корректно установленные, в том числе,
> >> например, правильный CN.
> >> 2.2. Т.к. есть, как минимум, 3 домена (altlinux.org, altlinux.ru,
> >> altlinux.com), видимо, на каждый сервис нужно выписывать 3 сертификата.
> > 
> > Точнее говоря, на каждый поддерживаемый этим сервисом домен.
> 
> Согласен.

OK

> >> 2.3. Там, где https объективно не нужен - его вообще быть не должно, 443
> >> порт закрыт.
> > 
> > Мне кажется, что это требование более универсально, чем SSL policy.
> 
> Ну, тем не менее -

Ну хорошо, пусть будет.

> >> 3. Все члены команды ALT имеют право попросить заверенные этим CA
> >> сертификаты в любом количестве для своих личных нужд.
> > 
> > Это утверждение надо переформулировать таким образом, чтобы исключить
> > неправильную трактовку, напр. рост количества сертификатов в
> > геометрической прогрессии.
> 
> Да в общем - и в геометрической - я ничего особенно страшного не вижу.
> Если будет необходимость выписывать их тысячами - для этого есть
> всевозможный более-менее свободный софт (всякие http://www.openca.info/,
> http://pki.openca.org/ и т.п.), стандартная процедура - запрос
> сертификата - выписывание сертификата.

OK

> >> ALT Linux TLS policy доступна на http://<URL где будет лежать policy>
> > 
> > SSL policy или TLS policy? :)
> 
> Вообще - лучше использовать термин TLS, он полностью заменил собой SSL
> еще в 1999 году.
> 
> http://en.wikipedia.org/wiki/Transport_Layer_Security#History_and_development

Только аббревиатура SSL всё ещё более распространена.  Тогда может
SSL/TLS?

> >> 5.2. Отсутствия такого текста - <minor> bug.
> >>
> >> ==========================================================================
> >>
> >> Оно же закинуто на http://www.freesource.info/wiki/Altlinux/Policy/TLS
> >>
> >> Прошу помочь вписать значения в <...> и высказаться насчет общего
> >> видения возможности принятия такой policy.
> > 
> > Не вижу принципиальных трудностей.
> 
> Хорошо, тогда, насколько я понимаю - надо дорешать вопросы с
> формулировками и можно сделать первые шаги:
> 
> 1. Сгенерировать этот самый root CA
> 2. Положить его в пакет openssl

OK, это я сделаю.

> 3. Выписать нужные сертификаты на серверы *.altlinux.* и разложить их
> где нужно

Это, видимо, тоже мне придётся делать, при содействии администраторов
соответствующих сайтов.

> 4. Ввести policy в действие

Как у нас принято вводить policy в действие?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

  reply	other threads:[~2007-02-03 22:16 UTC|newest]

Thread overview: 14+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2007-01-21 23:47     ` [devel] [sisyphus] Q: SSL " Dmitry V. Levin
2007-01-22  6:58       ` Mikhail Yakshin
2007-02-03 22:16         ` Dmitry V. Levin [this message]
2007-02-03 22:39           ` [devel] Q: SSL/TLS " Pavlov Konstantin
2007-02-03 23:20             ` Dmitry V. Levin
2007-02-04 17:40             ` Mikhail Gusarov
2007-02-04 13:55           ` Mikhail Yakshin
2007-02-04 15:13             ` Konstantin A. Lepikhov
2007-02-04 22:38               ` Dmitry V. Levin
2007-02-05 18:53                 ` Dmitry V. Levin
2007-02-05 19:35                   ` Michael Shigorin
2007-02-06 22:58               ` Dmitry V. Levin
2007-02-04 17:21           ` [devel] policy fixation (was: Q: SSL/TLS in ALT Linux) Michael Shigorin
2007-02-04 17:18       ` [devel] [sisyphus] Q: SSL in ALT Linux Michael Shigorin

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20070203221625.GD15565@basalt.office.altlinux.org \
    --to=ldv@altlinux.org \
    --cc=devel@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git