From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <lakostis@altlinux.org>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-0.9 required=5.0 tests=BAYES_00,FSL_HELO_HOME
 autolearn=no autolearn_force=no version=3.4.1
Date: Wed, 2 Aug 2017 16:05:23 +0200
From: Konstantin Lepikhov <lakostis@altlinux.org>
To: devel@lists.altlinux.org
Message-ID: <20170802140523.GA29131@lks.home>
Mail-Followup-To: devel@lists.altlinux.org
References: <87mv7ji7a6.fsf@asia.home.dd> <20170801182449.GA26891@lks.home>
 <87ini7hxy4.fsf@asia.home.dd> <20170801211738.GA21320@lks.home>
 <20170802095557.GA28330@imap.altlinux.org>
 <CAGvFrt2S8oj7H6WPV-Z+fu_Oor_UCJqtnKLDUdf0ze1Rjs0Ppw@mail.gmail.com>
 <9ee513b8-275e-ad45-3a01-45ecfabb5fba@altlinux.org>
 <20170802110327.GC3180@comp-core-i7-2640m-0182e6>
 <0548cbb3-6d89-f4a9-453b-6a3ff61d2e2f@pauli.ru>
 <4107b744-6fba-60f6-b3f4-9baeda0eaa4d@altlinux.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <4107b744-6fba-60f6-b3f4-9baeda0eaa4d@altlinux.org>
X-Operation-System: ALT Linux starter kit (Trientalis) 4.12.0-lks-wks-alt0.2
User-Agent: Mutt/1.6 (2015-08-30)
Subject: Re: [devel] =?utf-8?b?0JLQt9Cz0LvRj9C0INC90LAg0YHQtdGA0YLQuNGE0Lg=?=
 =?utf-8?b?0LrQsNGC0Ysg0LIgL3Vzci9zaGFyZS9jYS1jZXJ0aWZpY2F0ZXMvY2EtYnVu?=
 =?utf-8?b?ZGxlLmNydCDQuCDRgdC10YDRgtC40YTQuNC60LDRgtGLINCj0KYg0KDQpA==?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 02 Aug 2017 14:05:30 -0000
Archived-At: <http://lore.altlinux.org/devel/20170802140523.GA29131@lks.home/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Hi Paul!

On 08/02/17, at 04:24:41 PM you wrote:

<skip>
>   +1. А если иерархия УЦ РФ подразделяется на какие-то достаточно
> крупные самостоятельные части, то стоит, наверное, так и представить это
> для пользователя. Примерно так, как сейчас выбираются группы пакетов в
> инсталляторе. Чтобы можно было указать: вот этим доверяю, а вот этим — нет.
Это все имеет очень косвенное отношение к проблеме. Проблема в том, что
предлагается упростить правила по обеспечению безопасности списка
доверенных корневых сертификатов на уровне системы с формулировкой "я не хочу
заморачиваться, сделайте красиво". К сожалению, тут такие формулировки
неуместны. Неважно какие сертификаты и от какого УЦ там будут, это просто
работает по другому: когда есть формальные критерии и изменения им
удовлетворяют.

Я привел документ (Mozilla Root Store policy)[1], на котором основан список
сертификатов ca-bundle в системе, и хотелось бы получить что-то со стороны
сторонников "по мирному" и "инсинуаций".

PS Mozilla тут только в качестве хранителя ресурса, сертификацией и
поддержкой NSS вообще-то занимается RedHat[2].

1. https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/
2. https://wiki.mozilla.org/FIPS_Validation

-- 
WBR et al.