From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <legion@altlinux.ru>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.4 required=5.0 tests=BAYES_00,URI_NOVOWEL
 autolearn=ham autolearn_force=no version=3.4.1
Date: Fri, 22 Dec 2017 01:36:06 +0100
From: Alexey Gladkov <legion@altlinux.ru>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Message-ID: <20171222003606.GJ4981@comp-core-i7-2640m-0182e6.fortress>
References: <20171221184816.2968172e@sem.office.basealt.ru>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20171221184816.2968172e@sem.office.basealt.ru>
Subject: Re: [devel] RFC: ca-certificates a la Fedora
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 22 Dec 2017 00:36:11 -0000
Archived-At: <http://lore.altlinux.org/devel/20171222003606.GJ4981@comp-core-i7-2640m-0182e6.fortress/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Thu, Dec 21, 2017 at 06:48:16PM +0300, Mikhail Efremov wrote:
> Hello!
> 
> Это должно работать с openssl и gnutls, а вот с nss проблема: я так
> понимаю, что nss использует собственный бандл, а не системный, и
> использует libnssckbi.so для работы с ним. В p11-kit используется модуль
> pkcs11/p11-kit-trust.so и утверждается, что он бинарно совместим с
> libnssckbi.so, так что в Федоре некоторое время имели модули
> libnssckbi.so и p11-kit-trust.so на альтернативах, а сейчас просто
> выкинули libnssckbi.so из nss
> (https://bugzilla.redhat.com/show_bug.cgi?id=1484449).
> Но даже если про бинарную совместимость - это правда, то у меня есть
> сомнения, что это всегда будет так в следующих версиях nss и p11-kit и
> нас нет автоматической проверки таких вещей при сборке.

Нету. Плюс появление несовместимости станет блокирокером к обновлению nss,
что с точке зрения безопасности мне не нравится.

Если идти по этому пути, то я бы сделал альтернативы для этой библиотеки.

Кроме того, в nssckbi встроенная база Root CA Certificate поддерживается в
актуальном состоянии Mozilla.

В тоже время

#
# ALT CA
#
         
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 0 (0x0)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=RU, O=ALT Linux Team, OU=ALT Certification Authority, CN=ALT Root Certification Authority/emailAddress=ca-root@altlinux.org
        Validity
            Not Before: Jan  1 00:00:00 2007 GMT
            Not After : Jan  1 00:00:00 2017 GMT
        Subject: C=RU, O=ALT Linux Team, OU=ALT Certification Authority, CN=ALT Root Certification Authority/emailAddress=ca-root@altlinux.org

И вот `Not After : Jan  1 00:00:00 2017 GMT` вселяет сомнения в таком же
уровне поддержки.

> libnssckbi.so, тогда у нас действительно будет единое место для
> хранения CA сертификатов. Эту проблему придется как-то решать.

На мой взгляд правильный путь это добавление сертификатов в базу nss.

https://wiki.mozilla.org/NSS_Shared_DB
https://wiki.mozilla.org/NSS_Shared_DB_And_LINUX

Ну или альтертантивы для libnssckbi.so.

-- 
Rgrds, legion