From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham version=3.2.5 X-Virus-Scanned: Debian amavisd-new at cryptocom.ru Date: Tue, 5 May 2009 17:25:56 +0400 From: "Victor B. Wagner" To: devel@lists.altlinux.org Message-ID: <20090505132556.GA14733@cryptocom.ru> Mail-Followup-To: devel@lists.altlinux.org References: <20090504150025.GA1100@cryptocom.ru> <20090504152716.GD6444@altlinux.org> <20090504155146.GA2232@cryptocom.ru> <20090504173148.GE6444@altlinux.org> <20090505081033.GC2101@cryptocom.ru> <20090505130622.GH6444@altlinux.org> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20090505130622.GH6444@altlinux.org> User-Agent: Mutt/1.5.13 (2006-08-11) Subject: Re: [devel] =?koi8-r?b?98/Q0s/T2SDOz9fJ3svB?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 05 May 2009 13:26:12 -0000 Archived-At: List-Archive: List-Post: On 2009.05.05 at 17:06:22 +0400, Alexey I. Froloff wrote: > * Victor B. Wagner [090505 12:13]: > > > Пакет ca-certificates предоставляет хранилище trusted CA для тех > > > библиотек, которые в состоянии им пользоваться. На данный момент > > > это только openssl. > > То есть на данный момент при модификации пакета openssl можно заодно и с > > ca-certificates делать все, что угодно? Никто не окажется несправедливо > > обиженным? > Скажем, так, мне бы не хотелось видеть cert-sh-functions вусмерть > разломанным. Понятно. Вот один кандидат на должность того, кого надо не сломать. Хотя в логике работы этого пакета надо бы поразбираться. Во-первых, как я погляжу, он, если ему не указать более другого конфигурационного файла OpenSSL, генерирует какой-то безумно древний формат сертификата. Стандартного по X509v3 расширения extendedKeyUsage = serverAuth не кладет, а вместо этого кладет nsCertType, про который все уже давно забыли, что такое бывает. Во-вторых, самоподписанные сертификаты - зло. Они создают иллюзию безопасности, не обеспечивая реальной защиты от MitM Ни в коем случае нельзя генерировать самоподписанные сертификаты со сроком действия год. Неделю - еще куда ни шло, месяц - ну, еще можно перетерпеть. Понятно, что чтобы поднять и протестировать работоспособность сервиса они годятся. Но нужно назойливо напоминать администратору, чтобы как только так сразу, заменил самоподписанный сертификат на нормальный. Пусть выписанный собственным УЦ, но с отдельным сертификатом УЦ, с прописанным crlDistributionPoints и т.д. Может быть имеет смысл включить в дистрибутив микро-УЦ, который бы позволял на ходу генерировать нормальные сертификаты, и в случае если этот пакет установлен и сконфигурирован, автоматически переключать cert-sh-functions на использование этого УЦ. Правда тут есть такая тонкость - postinst скрипты в Alt принципиально неинтерактивные. А полноценный УЦ без хотя бы парольной защиты секретного ключа, а лучше ключа на на каком-нибудь аппаратном токене - не бывает. Ну и в DN стоило бы писать побольше полезной информации. Заявка, сгенерированная пакетом cert-sh-functions в существующем виде, не будет принята большинством УЦ по причине отсутствия в DN поля emailAddress.