Re: [devel] Q: SSL/TLS in ALT Linux - Konstantin A. Lepikhov

ALT Linux Team development discussions
 help / color / mirror / Atom feed

From: "Konstantin A. Lepikhov" <lakostis@altlinux.org>
To: ALT Devel discussion list <devel@lists.altlinux.org>
Subject: Re: [devel] Q: SSL/TLS in ALT Linux
Date: Sun, 4 Feb 2007 18:13:20 +0300
Message-ID: <20070204151320.GB27324@lks.home> (raw)
In-Reply-To: <45C5E5DB.9040808@altlinux.org>

[-- Attachment #1: Type: text/plain, Size: 2671 bytes --]

Hi Mikhail!

Sunday 04, at 04:55:39 PM you wrote:

> > Как у нас принято вводить policy в действие?
> 
> У нас сейчас есть пакет openssl и libssl4/ssl6.
> /var/lib/ssl/certs/ca-bundle.crt лежит в openssl. Правда жизни в том,
> что openssl никто не requires, все хотят только библиотеки libssl*, и,
> видимо, носят CA bundle с собой, либо не носят и ломаются, если пакет
> openssl удалить.
> 
> У нас есть кто-нибудь, кто будет использовать общее хранилище
> сертификатов CA и при этом не хочет быть завязан на openssl? Как
> минимум, есть gnutls, который вроде бы является альтерантивной
> реализацией - но там тоже все носят сертификаты с собой?
еще есть NSS и все, что его использует
(firefox/thunderbird/xulrunner/seamonkey). BTW, если дима ничего не менял
относительно моей сборки libssl, то /var/lib/ssl/certs/ca-bundle.crt
должен быть из NSS. 

> 
> Если таких нет - то:
> 
> 1.1. Объявляем единым хранилищем то, что в пакете openssl
> 
> Если есть такие:
> 
> 1.1. Выделяем хранилище CA public certs в отдельный noarch-пакет
> 1.2. Пересобираем openssl с использованием хранилища из этого отдельного
> пакета.
> 
> Дальше:
> 
> 2.1. Объявляем полиси вступившим в действие, переносим его с
> http://www.freesource.info/wiki/Altlinux/Policy на
> http://wiki.sisyphus.ru/devel/policy
> 
> 2.2. Смотрим, какие пакеты у нас носят такое хранилище с собой. По
> предварительным подсчетам это:
> 
> # grep $'\.pem\t' /Sisyphus/i586/base/contents_index >$TMPDIR/suspicious
> # grep $'\.crt\t' /Sisyphus/i586/base/contents_index >>$TMPDIR/suspicious
> # cut -f2 $TMPDIR/suspicious | sort -u
> 
> MySQL-server
гон. Там только примеры сертификатов.

> monit
аналогично

> mutt1.5
> stunnel
аналогично

> uw-imap
аналогично

> 2.3. Каждый из этих пакетов смотрим глазами (благо, их немного) и
> рассылаем их мейнтейнерам предупреждения и инструкции, что требуется
> сделать.
> 2.4. Ждем grace time, допустим, неделю.
> 2.5. Вешаем баги + чиним своими силами через NMU.
> 2.6. Вводим в sisyphus_check проверку: по собранному пакету нужно
> пройтись, в каждом файле поискать "-----BEGIN CERTIFICATE-----" и
> "-----END CERTIFICATE-----". Если такое нашлось - то с помощью:
> 
> openssl -in имяфайла -text -noout -purpose
> 
> вытащить информацию по сертификату и посмотреть, является ли сертификат.
> Это полумера, недостаточная для 100% уверенности, но по-моему, это
> лучше, чем ничего.
> 2.7. Вводим соответствующий макрос relaxed, чтобы отключить эту проверку.
бредовая затея. Проще вправлять мозги апстриму на предмет использования
OPENSSL_config(3) перед проверкой сертификатов.

-- 
WBR et al.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

next prev parent reply	other threads:[~2007-02-04 15:13 UTC|newest]

Thread overview: 14+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2007-01-21 23:47     ` [devel] [sisyphus] Q: SSL " Dmitry V. Levin
2007-01-22  6:58       ` Mikhail Yakshin
2007-02-03 22:16         ` [devel] Q: SSL/TLS " Dmitry V. Levin
2007-02-03 22:39           ` Pavlov Konstantin
2007-02-03 23:20             ` Dmitry V. Levin
2007-02-04 17:40             ` Mikhail Gusarov
2007-02-04 13:55           ` Mikhail Yakshin
2007-02-04 15:13             ` Konstantin A. Lepikhov [this message]
2007-02-04 22:38               ` Dmitry V. Levin
2007-02-05 18:53                 ` Dmitry V. Levin
2007-02-05 19:35                   ` Michael Shigorin
2007-02-06 22:58               ` Dmitry V. Levin
2007-02-04 17:21           ` [devel] policy fixation (was: Q: SSL/TLS in ALT Linux) Michael Shigorin
2007-02-04 17:18       ` [devel] [sisyphus] Q: SSL in ALT Linux Michael Shigorin

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20070204151320.GB27324@lks.home \
    --to=lakostis@altlinux.org \
    --cc=devel@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git