Hi Mikhail!

Friday 09, at 01:22:07 AM you wrote:
..
> firefox, thunderbird, xulrunner, seamonkey, libnspr - общая замечание ко
> всем, использующим NSS - имеет смысл, видимо, при сборке добавлять новый
> ALT CA таким builtin token, как сейчас добавляется старый (в файле типа
> firefox-0.9-alt-ssl-addon-certs.txt). В идеале - не просто добавлять
> один CA, а устроить обратное преобразование из PEM в формат файла
> сертификатов Gecko-образных.
кажется, у нас все-таки сделано наоборт ;)

> MySQL-server - несет в себе в документации пример сертификата CA,
> который используется как сервером, так и клиентом. Несмотря на то, что
> сертификат в документации и отключен по умолчанию, при реальном
> использовании его или аналогов требуется указание положения некоего CA
> bundle через ключ типа "ssl-ca=SSL/cacert.pem". Вопрос к мейнтейнеру -
> нет ли возможности / стоит ли патчить или что-то менять в MySQL, чтобы
> по умолчанию он имел в виду наш общий CA bundle?
только если вынести сервер из chroot'а - поскольку в chroot все равно
придется bundle вручную запихивать.

BTW, то же самое придется и делать с postfix.
 
> Финальное замечание: рассмотрены были пока только пакеты, которые явно
> несли в себе некие признаки использования openssl, не соответствующего
> policy. Кроме того, нужно просто вручную рассмотреть все пакеты, которые
> зависят от libssl с куда более пристрастной проверкой: внутри каждого из
> них может быть инициализация openssl с использованием наших общих CA или
> без. Во втором случае это предполагается исправлять.
> 
> Дополнительный список:
> 
...
> nginx
тут все очень простенько и неинтересно. Даже патчить не надо, т.к.
подобный функционал еще не предусмотрен.

-- 
WBR et al.