Re: [devel] Почему системные сертификаты хранятся в /usr/share/ca-certificates?

ALT Linux Team development discussions
 help / color / mirror / Atom feed

* Re: [devel] Почему системные сертификаты хранятся в  /usr/share/ca-certificates?
  @ 2018-05-17 21:21 ` Mikhail Efremov
  2018-05-18  8:35   ` Ivan Zakharyaschev
  0 siblings, 1 reply; 2+ messages in thread
From: Mikhail Efremov @ 2018-05-17 21:21 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Thu, 17 May 2018 09:16:57 +0300 Eugine Kosenko wrote:
> Haskell stack, собранный по умолчанию, не может без особых ухищрений
> добраться до своих репозитариев, так как ожидает, что системные
> сертификаты лежат в каталоге /etc/ssl/certs. Это прописано тут:
> 
> https://github.com/vincenthz/hs-certificate/blob/master/x509-system/System/X509/Unix.hs#L29-L34
> 
> В частности, именно так лежат сертификаты в Ubuntu.

В Debian когда-то так решили. У нас когда-то решили иначе. Как было
раньше в Федоре я не помню, но там запросто мог быть какой-то третий
вариант.

> В принципе, вопрос решается путем установки системной переменной
> SYSTEM_CERTIFICATE_PATH либо приложением небольшого патча к этому
> файлу. Однако интересно, чем обусловлен выбор нынешнего положения
> каталога с сертификатами?

Сейчас в Сизифе используется p11-kit, как и в Федоре, т.е. есть еще
ссылка на сертификаты /etc/pki/tls/certs/ca-bundle.crt, ну и сам
автогенерируемый файл /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.
Можно почитать обсуждение здесь в конце декабря - начале января.

В принципе, для совместимости с какой-нибудь проприетарщиной под
Debian/Ubuntu вполне можно добавить в пакет
ссылку /etc/ssl/certs/ca-certificates.crt, но сейчас такая ссылка
запакована в пакет steam.
Пакеты же собираемые в Сизиф лучше патчить, думаю. Особенно учитывая,
что в Debian тоже давно уже думают о переходе на использование p11-kit,
AFAIR.

-- 
WBR, Mikhail Efremov

^ permalink raw reply	[flat|nested] 2+ messages in thread

* Re: [devel] Почему системные сертификаты хранятся в  /usr/share/ca-certificates?
  2018-05-17 21:21 ` [devel] Почему системные сертификаты хранятся в /usr/share/ca-certificates? Mikhail Efremov
@ 2018-05-18  8:35   ` Ivan Zakharyaschev
  0 siblings, 0 replies; 2+ messages in thread
From: Ivan Zakharyaschev @ 2018-05-18  8:35 UTC (permalink / raw)
  To: ALT Linux Team development discussions

[-- Attachment #1: Type: text/plain, Size: 1265 bytes --]

On Fri, 18 May 2018, Mikhail Efremov wrote:

> On Thu, 17 May 2018 09:16:57 +0300 Eugine Kosenko wrote:
> > Haskell stack, собранный по умолчанию, не может без особых ухищрений
> > добраться до своих репозитариев, так как ожидает, что системные
> > сертификаты лежат в каталоге /etc/ssl/certs. Это прописано тут:
> > 
> > https://github.com/vincenthz/hs-certificate/blob/master/x509-system/System/X509/Unix.hs#L29-L34
> > 
> > В частности, именно так лежат сертификаты в Ubuntu.

> Сейчас в Сизифе используется p11-kit, как и в Федоре, т.е. есть еще
> ссылка на сертификаты /etc/pki/tls/certs/ca-bundle.crt, ну и сам
> автогенерируемый файл /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.

> В принципе, для совместимости с какой-нибудь проприетарщиной под
> Debian/Ubuntu вполне можно добавить в пакет
> ссылку /etc/ssl/certs/ca-certificates.crt, но сейчас такая ссылка
> запакована в пакет steam.

По-моему, неплохое решение на переходный период. Раз у этого уже ожидается 
два клиента.

> Пакеты же собираемые в Сизиф лучше патчить, думаю. Особенно учитывая,
> что в Debian тоже давно уже думают о переходе на использование p11-kit,
> AFAIR.

Тоже неплохая идея: сделать тот исходник более переносимым и предложить 
патч им в upstream.

-- 
Best regards,
Ivan

^ permalink raw reply	[flat|nested] 2+ messages in thread

end of thread, other threads:[~2018-05-18  8:35 UTC | newest]

Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2018-05-17 21:21 ` [devel] Почему системные сертификаты хранятся в /usr/share/ca-certificates? Mikhail Efremov
2018-05-18  8:35   ` Ivan Zakharyaschev

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git