On Sun, Jan 21, 2007 at 05:29:04AM +0300, Mikhail Yakshin wrote:
> А не может ли кто-нибудь прояснить ситуацию, которая складывается в ALT
> Linux с SSL, в частности - есть ли какой-то общий единый CA root ALT
> Linux, сертификат которого бы включался в дистрибутив и обязывался бы к
> использованию и принятию всеми программами (в основном - клиентами).
> 
> Насколько я понимаю - сейчас этого нет - есть смотреть на файл
> /var/lib/ssl/cert.pem из openssl.

Этого там ещё никогда не было, но видится разумным сделать root CA и
поместить в тот файл.

> Если смотреть на список built-in CA
> tokens в Mozilla - то есть некий токен "ALT Linux CA Root". В KDE -
> ничего такого нет.

Это именно некий токен, найти его приватную часть не удалось.

> Кроме того, ситуация такова:
[душераздирающие подробности опущены]
> Т.е., видимо, "ALT Linux CA Root" когда-то давно действительно
> использовалась - можно поинтересоваться, что с ней стало,

Этот CA сделал, кажется, migor@, но сейчас у нас нет приватной части,
и даже если она появится, то будет уже поздно.

> какова
> официальная позиция мейнтейнеров основных пакетов, использующих SSL по
> этому вопросу (openssl, mozilla, kde)?

Я вижу разумным сделать новый root CA, положить его в пакеты и дальше
использовать.

> Ну и, соответственно, вопрос в продолжение первого - если таковая
> authority все-таки будет воскрешена - какова политика получения
> удостоверенных ею сертификатов?

Политику предстоит утвердить.  Какие будут предложения?


-- 
ldv