From: Mikhail Efremov <sem@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: [devel] RFC: ca-certificates a la Fedora
Date: Thu, 21 Dec 2017 18:48:16 +0300
Message-ID: <20171221184816.2968172e@sem.office.basealt.ru> (raw)
Hello!
Я сейчас готовлю ca-certificates (сегодня сделаю тестовое задание) с
использованием p11-kit (https://p11-glue.freedesktop.org/), как в
Федоре.
Их схема выглядит вполне разумной, скрипт на питоне для генерации
p11-kit-бандла я тоже взял из Федоры (там есть часть про legacy trust,
которая у нас не актуальна, но она не мешает и проще оставить, чем
выкидывать).
При использовании этой схемы, добавление дополнительных CA сертификатов
(или blacklist неугодных), становится очень простым делом.
Пакеты ca-gost-certificates и ca-gost-certificates-auc должны будут
просто положить сертификаты, которым нужно доверять,
в /usr/share/pki/ca-trust-source/anchors/ (можно прям в DER формате)
и больше не делать ничего.
Это должно работать с openssl и gnutls, а вот с nss проблема: я так
понимаю, что nss использует собственный бандл, а не системный, и
использует libnssckbi.so для работы с ним. В p11-kit используется модуль
pkcs11/p11-kit-trust.so и утверждается, что он бинарно совместим с
libnssckbi.so, так что в Федоре некоторое время имели модули
libnssckbi.so и p11-kit-trust.so на альтернативах, а сейчас просто
выкинули libnssckbi.so из nss
(https://bugzilla.redhat.com/show_bug.cgi?id=1484449).
Но даже если про бинарную совместимость - это правда, то у меня есть
сомнения, что это всегда будет так в следующих версиях nss и p11-kit и
нас нет автоматической проверки таких вещей при сборке.
Но вообще хорошо бы заставить nss использовать p11-kit-trust.so вместо
libnssckbi.so, тогда у нас действительно будет единое место для
хранения CA сертификатов. Эту проблему придется как-то решать.
В первую очередь мне бы хотелось услышать комментарии от lakostis@,
который уже несколько лет поддерживает ca-certificates в актуальном
состоянии, и legion@, как мантейнера libnss.
--
WBR, Mikhail Efremov
next reply other threads:[~2017-12-21 15:48 UTC|newest]
Thread overview: 37+ messages / expand[flat|nested] mbox.gz Atom feed top
2017-12-21 15:48 Mikhail Efremov [this message]
2017-12-21 23:21 ` Mikhail Efremov
2017-12-29 15:38 ` Mikhail Efremov
2017-12-29 15:53 ` Dmitry V. Levin
2017-12-29 16:08 ` Dmitry V. Levin
2017-12-29 16:29 ` Mikhail Efremov
2018-01-09 23:22 ` Mikhail Efremov
2018-01-09 23:33 ` Mikhail Efremov
2018-01-10 0:41 ` Ivan Zakharyaschev
2017-12-22 0:36 ` Alexey Gladkov
2017-12-22 1:28 ` Dmitry V. Levin
2017-12-22 2:26 ` Alexey Gladkov
2017-12-22 16:33 ` Mikhail Efremov
2017-12-22 22:37 ` Dmitry V. Levin
2017-12-22 23:53 ` Alexey Gladkov
2017-12-22 23:58 ` Dmitry V. Levin
2017-12-23 0:30 ` Alexey Gladkov
2017-12-23 0:05 ` Alexey Gladkov
2017-12-23 0:22 ` Dmitry V. Levin
2017-12-23 0:35 ` Alexey Gladkov
2017-12-23 0:58 ` Dmitry V. Levin
2017-12-23 1:07 ` Alexey Gladkov
2017-12-23 11:54 ` Mikhail Efremov
2017-12-23 12:00 ` Dmitry V. Levin
2017-12-23 23:58 ` Mikhail Efremov
2017-12-24 0:04 ` [devel] RFC: *-install-test Dmitry V. Levin
2017-12-24 1:05 ` Alexey Gladkov
2017-12-24 1:09 ` Dmitry V. Levin
2018-01-06 23:22 ` Dmitry V. Levin
2018-01-07 0:23 ` Alexey Tourbin
2018-01-07 0:46 ` Dmitry V. Levin
2018-01-07 6:25 ` Alexey Tourbin
2018-01-07 10:49 ` Dmitry V. Levin
2017-12-24 10:08 ` [devel] check_*_pkg? Was: " Ivan Zakharyaschev
2017-12-23 11:21 ` [devel] RFC: ca-certificates a la Fedora Mikhail Efremov
2017-12-23 11:58 ` Dmitry V. Levin
2017-12-23 14:54 ` Alexey V. Vissarionov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20171221184816.2968172e@sem.office.basealt.ru \
--to=sem@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git