Re: [sisyphus] Q: SSL in ALT Linux

[Mikhail Yakshin <greycat@altlinux.org>]

Dmitry V. Levin wrote:
> On Sun, Jan 21, 2007 at 05:29:04AM +0300, Mikhail Yakshin wrote:
>> А не может ли кто-нибудь прояснить ситуацию, которая складывается в ALT
>> Linux с SSL, в частности - есть ли какой-то общий единый CA root ALT
>> Linux, сертификат которого бы включался в дистрибутив и обязывался бы к
>> использованию и принятию всеми программами (в основном - клиентами).

[...]

> Я вижу разумным сделать новый root CA, положить его в пакеты и дальше
> использовать.
> 
>> Ну и, соответственно, вопрос в продолжение первого - если таковая
>> authority все-таки будет воскрешена - какова политика получения
>> удостоверенных ею сертификатов?
> 
> Политику предстоит утвердить.  Какие будут предложения?

Предлагаю сделать нечто вроде SSL policy и закрепить в ней примерно
следующие основные пункты:

==========================================================================

1. Существует ALT root CA, принадлежащий ООО (как и все остальные
основные подписи и ключи по репозитариями и по проекту в целом).

1.1. Сертификат имеет CN=<такой-то>, OU=<такой-то>, O=<такой-то>,
C=<такой-то> (и т.п.)
1.2. Срок действия CA устанавливается в <X> лет.
1.3. Его поддержанием, регенерацией, выписыванием сертификатов
занимается <видимо, кто-то из суппорта?>
1.4. Регенерация делается за <полгода> до окончания срока действия
очередного основного CA: генерируется новый сертификат и в эти полгода
все носят 2 сертификата. Старый сертификат выкидывается отовсюду по
возможности, как его срок действия совсем заканчивается.
1.5. Сертификат всегда доступен для скачивания с
<https://tls.altlinux.org>, а также в пакете openssl (из тех
соображений, что он у нас наиболее системообразующий).

2. Все https-серверы и XMMP-серверы ALT (как минимум, перечисленные в
gory details в первом письме) используют сертификаты, выписанные этим
ALT root CA.

2.1. Сертификаты должны иметь корректно установленные, в том числе,
например, правильный CN.
2.2. Т.к. есть, как минимум, 3 домена (altlinux.org, altlinux.ru,
altlinux.com), видимо, на каждый сервис нужно выписывать 3 сертификата.
2.3. Там, где https объективно не нужен - его вообще быть не должно, 443
порт закрыт.

3. Все члены команды ALT имеют право попросить заверенные этим CA
сертификаты в любом количестве для своих личных нужд. Пункт 4
гарантирует, что такой сертификат, заверенный ALT, будет, как минимум,
восприниматься всеми системами, работающими под управлением ALT Linux.

3.1. Сертификаты, подписанные этим CA, для третьих лиц и организаций, не
являющихся членами команды ALT, распространяются ООО по своему усмотрению.

4. Все пакеты в Сизифе, которые могут использоваться в качестве клиентов
для доступа к серверам к TLS/SSL и которые не используют обычные
системные хранилища сертификатов, должны носить в своем списке CA
дополнительно еще и ALT root CA, и, таким образом.

4.1. Проверить работоспособность клиента в плане принятия сертификатов
ALT можно на https://bugs.altlinux.org/ и на xmpp://altlinux.org
4.2. Несоответствие пакета пункту 4 настоящей policy - <block> bug.

5. Все пакеты в Сизифе, которые могут использоваться как серверы с
TLS/SSL должны иметь упоминание (например, в README.alt) о наличии ALT
root CA, о пункте 3 и давать ссылку на настоящую policy.

5.1. Примерный текст упоминания (приветствуется изменение его для
лучшего отражения специфики пакета - http, xmpp, imap-сервер и т.п.):

Данный пакет позволяет организовать сервер, соединения с которым будут
защищены с помощью TLS/SSL. Для этого нужен сертификат сервера.
Сертификат может быть самоподписанным, в таком случае он будет
восприниматься только ограниченным рядом систем, на каждую такую систему
его придется переносить вручную. Для того, чтобы его принимало
автоматически больше систем, нужен сертификат, подписанный какой-то
известной большинству систем организацией - Certificate Authority.

В ALT Linux есть собственная Certificate Authority. В соответствии с TLS
 policy, члены команды ALT могут получать неограниченное число
подписанных ей сертификатов, которые, таким образом, будут корректно
приниматься на всех системах ALT Linux.

Подробности получения сертификатов можно узнать на https://tls.altlinux.org/

ALT Linux TLS policy доступна на http://<URL где будет лежать policy>

5.2. Отсутствия такого текста - <minor> bug.

==========================================================================

Оно же закинуто на http://www.freesource.info/wiki/Altlinux/Policy/TLS

Прошу помочь вписать значения в <...> и высказаться насчет общего
видения возможности принятия такой policy.

-- 
WBR, Mikhail Yakshin AKA GreyCat
ALT Linux [http://www.altlinux.ru] [xmpp:greycat@altlinux.org]