Re: [devel] Длина ключей разработчика

Re: [devel] Длина ключей разработчика

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 803 bytes --]

Hi,

On Wed, Jul 08, 2015 at 12:46:14PM +0300, Vladimir Didenko wrote:
> Добрый день.
> 
> А не пора ли инструкцию
> 
> http://www.altlinux.org/Работа_с_ключами_разработчика
> 
> обновить? Там рекомендуется DSA с длинной ключа 1024, хотя, считается, что
> этой длинны сейчас не достаточно и нужно использовать по крайней мере 2048.

Да, пора инструкцию обновить.

> И если я сделаю запрос на обновление своих ключей только потому, что считаю
> их длины не достаточной, не будет ли это расценено как паранойя?

Нет, не будет, конечно.

> P.S. Хорошо бы еще нашу багизиллу подконфигурировать, иначе смотреть на
> репорт от SSLLabs страшно
> 
> https://www.ssllabs.com/ssltest/analyze.html?d=bugzilla.altlinux.org

Будем надеяться, что сисадмин багизиллы это прочел.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 181 bytes --]

Re: [devel] Длина ключей разработчика

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 453 bytes --]

On Wed, Jul 08, 2015 at 01:30:43PM +0300, Vladimir Didenko wrote:
> Тогда еще вопрос - как лучше обновить ssh ключ. В инструкции написано, что
> GPG ключ вливается в клонированный репозиторий alt-gpgkeys. А ssh ключ как
> лучше обновить - тоже в git залить, или в багзиллу с подписью прикрепить? Я
> думаю этот момент в инструкции тоже надо отразить.

Технически реализуемы оба варианта, как напишете в инструкции,
так и будет. :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 181 bytes --]

Re: [devel] Длина ключей разработчика

[REAL]

08.07.2015 17:51, Igor Zubkov пишет:
> "This server's certificate is not trusted, see below for details." -- Может
> у нас наконец-то появится нормальный подписанный сертификат?

А чем подписанный лучше самоподписанного? Разве что тем, что при 
первом посещении пользователю надо сказать, что доверяет. Я вот тем, 
кто продаёт сертификаты, не доверяю, а вот своим - да.

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

[devel] [JT] Re: Длина ключей разработчика

[Michael Shigorin]

On Wed, Jul 08, 2015 at 01:51:37PM +0300, Igor Zubkov wrote:
> "This server's certificate is not trusted, see below for
> details." -- Может у нас наконец-то появится нормальный
> подписанный сертификат?

Лично я доверяю нашим самоподписанным и не доверяю самозваным CA.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [devel] Длина ключей разработчика

[Andrey Cherepanov]

08.07.2015 12:46, Vladimir Didenko пишет:
> Добрый день.
> 
> А не пора ли инструкцию
> 
> http://www.altlinux.org/Работа_с_ключами_разработчика
> 
> обновить? Там рекомендуется DSA с длинной ключа 1024, хотя, считается, что
> этой длинны сейчас не достаточно и нужно использовать по крайней мере 2048.
> 
> И если я сделаю запрос на обновление своих ключей только потому, что считаю
> их длины не достаточной, не будет ли это расценено как паранойя?
> 
> P.S. Хорошо бы еще нашу багизиллу подконфигурировать, иначе смотреть на
> репорт от SSLLabs страшно
> 
> https://www.ssllabs.com/ssltest/analyze.html?d=bugzilla.altlinux.org
Спасибо. Заведите багу на багзилле в разделе Infrastructure ->
bugzilla.altlinux.org

-- 
Andrey Cherepanov
ALT Linux
cas@altlinux.ru

Re: [devel] Длина ключей разработчика

[Sergey Y. Afonin]

On Wednesday 08 July 2015, Vladimir Didenko wrote:

> Я с наилучшими намеряниями иду в багзиллу, а мне браузер красное
> предупреждение показывает - я могу и испугаться.  
 
Что касается покупных сертификатов, то я, тоже, не понимаю, на
каком основании я должен доверять одним, и не доверять другим.

-- 
С уважением, Сергей Афонин

Re: [devel] Длина ключей разработчика

[REAL]

08.07.2015 18:32, Vladimir Didenko пишет:
>> А чем подписанный лучше самоподписанного?
>
>
> Тем, что будет работать не только у тех, у кого установлен alt.

Он у всех будет работать.

>> Разве что тем, что при первом посещении пользователю надо сказать, что
>> доверяет.
>
> И как пользователь будет решать нужно доверять этому сертификату или нет?

Нужно как-то определиться, будет ли сервер доверять пользователю ;) . 
А если пользователь зашёл на какой-либо сайт и попал в HTTPS, значит, 
ему туда надо, значит, вопрос о доверии не стоит.

>> Я вот тем, кто продаёт сертификаты, не доверяю, а вот своим - да.
>>
>
> Это как - удалили пакет ca-certificates и настроили firefox, чтобы тот
> перестал доверять своим корневым CA ?

Зачем?

> Те кто продает сертификаты могут выпустить сертификат для любого домена без
> чьего либо спроса в независимости от того, самоподписанный там сертификат
> или нет. Альтернатив все равно пока нет.

А какие плюсы? За что деньги-то платить?
-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

Re: [devel] Длина ключей разработчика

[REAL]

08.07.2015 22:02, Vitaly Lipatov пишет:
> А я за то, чтобы в
> связке сертификатов, поставляемых с дистрибутивом ALT Linux, лежал
> корневой сертификат, позволяющий доверять сертификатам, выпущенным ALT
> Linux.

Да, вот это было бы очень нелишне.

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ