From: Mikhail Yakshin <greycat@altlinux.org>
To: ALT Linux Sisyphus discussion list <sisyphus@lists.altlinux.org>
Subject: [sisyphus] Q: SSL in ALT Linux
Date: Sun, 21 Jan 2007 05:29:04 +0300
Message-ID: <45B2CFF0.8050200@altlinux.org> (raw)
Приветствую!
А не может ли кто-нибудь прояснить ситуацию, которая складывается в ALT
Linux с SSL, в частности - есть ли какой-то общий единый CA root ALT
Linux, сертификат которого бы включался в дистрибутив и обязывался бы к
использованию и принятию всеми программами (в основном - клиентами).
Насколько я понимаю - сейчас этого нет - есть смотреть на файл
/var/lib/ssl/cert.pem из openssl. Если смотреть на список built-in CA
tokens в Mozilla - то есть некий токен "ALT Linux CA Root". В KDE -
ничего такого нет.
Кроме того, ситуация такова:
========================================================================
https://backports.altlinux.org
https://faq.altlinux.ru
https://bugzilla.altlinux.org - самоподписанный сертификат на "bugzilla"
организации "ALT Linux" (серийный номер 0).
https://www.altlinux.ru или .org - самоподписанный сертификат на
"support" организации "ALT Linux ru" (серийный номер 0)
https://lrn.ru
https://docs.altlinux.ru - тот же сертификат www.altlinux.ru, плюс еще
под https показывается не содержимое ожидаемого сайта, а именно сайт
http://www.altlinux.ru
xmpp://altlinux.org:5223 - сертификат с серийным номером 2, выписанный
на "Jabber service" организации "ALT Linux Team", подписан CN="ALT Linux
CA Root"
https://lists.altlinux.ru - просроченный (уже давно - с 24.05.2006)
сертификат с серийным номером 10, выписанный на CN="lists.altlinux.ru",
OU="ALT Linux Support Department", подписан все той же CN="ALT Linux CA
Root"
https://heap.altlinux.ru - очень странный сертификат, видимо,
сгенеренный по какому-то образцу с настройками по умолчанию для "E =
webmaster@localhost; CN = localhost; OU = Webserver Team; O = Localhost,
Inc; L = Local Town; ST = Local Country; C = LO", подписан не менее
эфемерным "E = ca@snakeoil.dom; CN = Snake Oil CA; OU = Certificate
Authority; O = Snake Oil, Ltd; L = Snake Town; ST = Snake Desert; C =
XY". Причем еще в связке нет второго сертификата для этого эфемерного
CA, а основной сертификат носит серийный номер 3, значит, где-то есть
еще несколько таких сертификатов.
https://*.mozilla.ru и mozilla-russia.org - сертификат, выписанный на
"*.unsafe.ru", подписанный CN="UNSAFE.RU Root CA". Серийный номер аж
00:C0:42:93:C6:BF:19:B5:2A. В общем, здесь как раз все понятно.
========================================================================
Т.е., видимо, "ALT Linux CA Root" когда-то давно действительно
использовалась - можно поинтересоваться, что с ней стало, какова
официальная позиция мейнтейнеров основных пакетов, использующих SSL по
этому вопросу (openssl, mozilla, kde)?
Ну и, соответственно, вопрос в продолжение первого - если таковая
authority все-таки будет воскрешена - какова политика получения
удостоверенных ею сертификатов?
--
WBR, Mikhail Yakshin AKA GreyCat
ALT Linux [http://www.altlinux.ru] [xmpp:greycat@altlinux.org]
next reply other threads:[~2007-01-21 2:29 UTC|newest]
Thread overview: 12+ messages / expand[flat|nested] mbox.gz Atom feed top
2007-01-21 2:29 Mikhail Yakshin [this message]
2007-01-21 12:14 ` Dmitry V. Levin
2007-01-21 23:18 ` Mikhail Yakshin
2007-01-30 10:46 ` Michael Shigorin
2007-02-08 0:01 ` Dmitry V. Levin
2007-02-08 13:07 ` Mikhail Gusarov
2007-02-09 8:45 ` Mikhail Yakshin
2007-02-09 9:15 ` Mikhail Gusarov
2007-02-09 9:38 ` Mikhail Yakshin
2007-02-09 10:17 ` Mikhail Gusarov
2007-02-09 13:46 ` Dmitry V. Levin
2007-02-09 14:05 ` Mikhail Gusarov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=45B2CFF0.8050200@altlinux.org \
--to=greycat@altlinux.org \
--cc=sisyphus@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git