From: Mikhail Efremov <sem@altlinux.org>
To: devel@lists.altlinux.org
Subject: Re: [devel] RFC: ca-certificates a la Fedora
Date: Fri, 22 Dec 2017 19:33:46 +0300
Message-ID: <20171222193346.035680ab@sem.office.basealt.ru> (raw)
In-Reply-To: <20171222022648.GA30110@comp-core-i7-2640m-0182e6.fortress>
On Fri, 22 Dec 2017 03:26:48 +0100 Alexey Gladkov wrote:
> On Fri, Dec 22, 2017 at 04:28:05AM +0300, Dmitry V. Levin wrote:
> > > Нету. Плюс появление несовместимости станет блокирокером к обновлению nss,
> > > что с точке зрения безопасности мне не нравится.
> > >
> > > Если идти по этому пути, то я бы сделал альтернативы для этой библиотеки.
> >
> > Альтернативы для библиотек -- это вообще плохая идея, я всё никак не
> > придумаю способа их эффективно запретить.
>
> Если всё как сказал sem@ и действительно есть полная совместимость, то
> проблем не будет. Если несовместимость всё-таки появится/может появиться,
> то пользователи смогут переключиться на апстримную библиотеку (хотя бы
> временно). Это лучше, чем класть все яйца в одну корзину.
Если сделать так:
ln -s /usr/lib64/pkcs11/p11-kit-trust.so /etc/pki/nssdb/libnssckbi.so
то certutil -L -d sql:/etc/pki/nssdb/ -h 'Builtin Object Token'
начинает выдавать список сертификатов из p11-kit.
> > Пакет ca-certificates, насколько я понимаю, поставляет ту же самую базу,
> > которую импортирует из nss/lib/ckfw/builtins/certdata.txt,
> > достаточно просто обновлять её своевременно.
>
> Сейчас с обновлением nss firefox, thunderbird и chromium получают новую
> базу (это почти правде). Если ca-certificates обновляются из того же
> источника,тогда почему он не собирается из libnss ?
В принципе можно собирать и из libnss, но мне кажется отдельным пакетом
удобнее. Можно будет вносить изменения в скрипты не пересобирая ради
этого libnss или собрать новую версию с новыми сертификатами не
дожидаясь выхода новой libnss. И ничего не мешает обновлять
ca-certificates синхронно с выходом новой версии libnss.
> > > На мой взгляд правильный путь это добавление сертификатов в базу nss.
> > > https://wiki.mozilla.org/NSS_Shared_DB
> > > https://wiki.mozilla.org/NSS_Shared_DB_And_LINUX
> >
> > Существует ли инструмент экспорта в формат, с которым работает libnssckbi.so?
>
> Я начинал делать общую базу для nss, когда поддерживал всё от mozilla, но
> остановился и выпал из контекста. Поэтому ответить на этот вопрос сейчас
> не могу.
> После поверхностного просмотра там вроде формат базы sqlite.
>
> Я знаю, что в этом плане у RH были наработки. Правда, ходят слухи, что RH
> планирует уйти с nss. Так что, кто знает...
Это может и был бы неплохой вариант, просто экспортировать сертификаты в
базу nss также, как они экспортируются для openssl и т.д. Если бы не это
(https://wiki.gentoo.org/wiki/Certificates):
Warning
Although common sense would imply that applications which use the NSS
library would also consult the system-wide database, this is more
exception than rule. Neither Chromium nor Firefox (or any of the
derived browsers) support the system-wide database. Hence, the below
instructions are generally ineffective on a system-wide basis, but can
be altered to suit per-application specific databases.
Впрочем, мне все рано в этом варианте не нравится, что у libnss может
быть другой набор CA сертификатов. Идея как раз в том, чтобы иметь
единый набор CA сертификатов для всех библиотек. И управлять уже им.
Добавил сертификат - все приложения начинают ему доверять, не зависимо
от того, используют ли они openssl, gnutls или nss. Ну и с blacklist,
соответственно, так же.
> > > Ну или альтертантивы для libnssckbi.so.
> >
> > Либо разные реализации libnssckbi.so окажутся настолько совместимы, что
> > будет использоваться только одна, либо нет, и тогда придётся использовать
> > разные реализации одновременно и мы вернёмся к нынешней ситуации.
>
> Именно, но откат пользователя к апстримной библиотеке мне кажется более
> удачным вариантом, чем невозможность пользоваться браузером/почтой вообще,
> в случае, когда вместо libnssckbi.so будет несовместимая библиотека.
Учитывая, что это не совсем библиотека, насколько я понимаю, т.е. с ней
никто не линкуется, то может альтернативы и не самый плохой вариант.
Лучше бы, конечно, убрать ее из nss совсем, заменив ссылкой на
p11-kit-trust.so, а в случае разлома можно временно вернуть
libnssckbi.so. Проблема в том, как обнаружить этот разлом.
--
WBR, Mikhail Efremov
next prev parent reply other threads:[~2017-12-22 16:33 UTC|newest]
Thread overview: 37+ messages / expand[flat|nested] mbox.gz Atom feed top
2017-12-21 15:48 Mikhail Efremov
2017-12-21 23:21 ` Mikhail Efremov
2017-12-29 15:38 ` Mikhail Efremov
2017-12-29 15:53 ` Dmitry V. Levin
2017-12-29 16:08 ` Dmitry V. Levin
2017-12-29 16:29 ` Mikhail Efremov
2018-01-09 23:22 ` Mikhail Efremov
2018-01-09 23:33 ` Mikhail Efremov
2018-01-10 0:41 ` Ivan Zakharyaschev
2017-12-22 0:36 ` Alexey Gladkov
2017-12-22 1:28 ` Dmitry V. Levin
2017-12-22 2:26 ` Alexey Gladkov
2017-12-22 16:33 ` Mikhail Efremov [this message]
2017-12-22 22:37 ` Dmitry V. Levin
2017-12-22 23:53 ` Alexey Gladkov
2017-12-22 23:58 ` Dmitry V. Levin
2017-12-23 0:30 ` Alexey Gladkov
2017-12-23 0:05 ` Alexey Gladkov
2017-12-23 0:22 ` Dmitry V. Levin
2017-12-23 0:35 ` Alexey Gladkov
2017-12-23 0:58 ` Dmitry V. Levin
2017-12-23 1:07 ` Alexey Gladkov
2017-12-23 11:54 ` Mikhail Efremov
2017-12-23 12:00 ` Dmitry V. Levin
2017-12-23 23:58 ` Mikhail Efremov
2017-12-24 0:04 ` [devel] RFC: *-install-test Dmitry V. Levin
2017-12-24 1:05 ` Alexey Gladkov
2017-12-24 1:09 ` Dmitry V. Levin
2018-01-06 23:22 ` Dmitry V. Levin
2018-01-07 0:23 ` Alexey Tourbin
2018-01-07 0:46 ` Dmitry V. Levin
2018-01-07 6:25 ` Alexey Tourbin
2018-01-07 10:49 ` Dmitry V. Levin
2017-12-24 10:08 ` [devel] check_*_pkg? Was: " Ivan Zakharyaschev
2017-12-23 11:21 ` [devel] RFC: ca-certificates a la Fedora Mikhail Efremov
2017-12-23 11:58 ` Dmitry V. Levin
2017-12-23 14:54 ` Alexey V. Vissarionov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20171222193346.035680ab@sem.office.basealt.ru \
--to=sem@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git