From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vitus@altlinux.org>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham
	version=3.2.5
X-Virus-Scanned: Debian amavisd-new at cryptocom.ru
Date: Mon, 4 May 2009 19:51:46 +0400
From: "Victor B. Wagner" <vitus@altlinux.org>
To: devel@lists.altlinux.org
Message-ID: <20090504155146.GA2232@cryptocom.ru>
Mail-Followup-To: devel@lists.altlinux.org
References: <20090504150025.GA1100@cryptocom.ru>
	<20090504152716.GD6444@altlinux.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20090504152716.GD6444@altlinux.org>
User-Agent: Mutt/1.5.13 (2006-08-11)
Subject: Re: [devel] =?koi8-r?b?98/Q0s/T2SDOz9fJ3svB?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 04 May 2009 15:52:03 -0000
Archived-At: <http://lore.altlinux.org/devel/20090504155146.GA2232@cryptocom.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On 2009.05.04 at 19:27:16 +0400, Alexey I. Froloff wrote:

> * Victor B. Wagner <vitus@> [090504 19:01]:
> > По этому вопросу интересно также мнение людей поддерживающих
> > более другие криптобиблиотеки  - libnss,
> Раскалённой кочергой вкомпилено в либу.  Централизованного
> хранилища сертификатов не существует.

Существует как минимум диалоговое окно в Mozilla Firefox, которое
позволяет импортировать сертификаты доверенных УЦ.

Следовательно,  API библиотеки позволяет каким-то образом втаскивать
новые сертификаты в это хранилище.

Если, конечно, мейнтейнеров софта на базе этой библиотеки не интересует
синхронизация набора доверенных сертификатов с набором, используемым
другими библиотеками, то это - ответ на мой вопрос. 

> > libgcrypt - как эти библиотеки доступаются к trusted CA store
> У libgcrypt нет такого понятия как "trust" вообще.  Это только
> алгоритмы шифрования.

Он есть у gnutls. Я употребил название gcrypt, поскольку сходу не
вспомнил правильное название той библиотеки, которая в этой системе
поддерживает набор вещей, более высокоуровневый, чем собственно
алгоритмы шифрования, но общий для TLS и S/MIME. Вообще в gnutls я из
трех основных opensource криптобиблиотек копался меньше всего.

> 
> > (потому что очевидно, что пакет ca-certificates должен
> > удовлетоврять потребности всех трех библиотек).
> Неочевидно.

То есть, вы считаете что неочевидно, что wget на конкретной системе 
должен доверять ровно тем
же УЦ, что и Firefox, а mutt - тем же, что и Thunderbird?

Серверный софт вроде apache и postgresql, у которого ДЕЙСТВИТЕЛЬНО могут
быть более другие требования по уровню доверия, сам о себе позаботится
посредством отказа от использования умолчательного хранилища
сертификатов, и явного прописывания в конфигах тех сертификатов, которым
они согласны доверять.

А пакет ca-certificates предназначен для клиентского софта. 
Соответственно, весь этот софт независимо от используемой
криптобиблиотеки по хорошему счету должен использовать именно этот набор
сертификатов. Вернее, тот, в который этот набор превратил пользователь,
добавив туда руками то, чему лично он доверяет.