From: "Dmitry V. Levin" <ldv@altlinux.org> To: ALT Devel discussion list <devel@lists.altlinux.org> Subject: Re: [devel] RFC: ca-certificates a la Fedora Date: Sat, 23 Dec 2017 01:37:09 +0300 Message-ID: <20171222223709.GB29859@altlinux.org> (raw) In-Reply-To: <20171222193346.035680ab@sem.office.basealt.ru> [-- Attachment #1: Type: text/plain, Size: 3148 bytes --] On Fri, Dec 22, 2017 at 07:33:46PM +0300, Mikhail Efremov wrote: > On Fri, 22 Dec 2017 03:26:48 +0100 Alexey Gladkov wrote: > > On Fri, Dec 22, 2017 at 04:28:05AM +0300, Dmitry V. Levin wrote: > > > > Нету. Плюс появление несовместимости станет блокирокером к обновлению nss, > > > > что с точке зрения безопасности мне не нравится. > > > > > > > > Если идти по этому пути, то я бы сделал альтернативы для этой библиотеки. > > > > > > Альтернативы для библиотек -- это вообще плохая идея, я всё никак не > > > придумаю способа их эффективно запретить. > > > > Если всё как сказал sem@ и действительно есть полная совместимость, то > > проблем не будет. Если несовместимость всё-таки появится/может появиться, > > то пользователи смогут переключиться на апстримную библиотеку (хотя бы > > временно). Это лучше, чем класть все яйца в одну корзину. > > Если сделать так: > ln -s /usr/lib64/pkcs11/p11-kit-trust.so /etc/pki/nssdb/libnssckbi.so > то certutil -L -d sql:/etc/pki/nssdb/ -h 'Builtin Object Token' > начинает выдавать список сертификатов из p11-kit. libnssckbi.so в /etc - это оригинально, но по умолчанию в /etc/pki/nssdb никто не смотрит, так ведь? [...] > > > > Ну или альтертантивы для libnssckbi.so. > > > > > > Либо разные реализации libnssckbi.so окажутся настолько совместимы, что > > > будет использоваться только одна, либо нет, и тогда придётся использовать > > > разные реализации одновременно и мы вернёмся к нынешней ситуации. > > > > Именно, но откат пользователя к апстримной библиотеке мне кажется более > > удачным вариантом, чем невозможность пользоваться браузером/почтой вообще, > > в случае, когда вместо libnssckbi.so будет несовместимая библиотека. > > Учитывая, что это не совсем библиотека, насколько я понимаю, т.е. с ней > никто не линкуется, то может альтернативы и не самый плохой вариант. > Лучше бы, конечно, убрать ее из nss совсем, заменив ссылкой на > p11-kit-trust.so, а в случае разлома можно временно вернуть > libnssckbi.so. Проблема в том, как обнаружить этот разлом. Я бы сказал, что совсем не библиотека: $ nm -D /usr/lib64/libnssckbi.so |grep '^[[:xdigit:]]' 0000000000020fb0 T C_GetFunctionList 0000000000000000 A NSS_3.1 Если libnssckbi.so - это не библиотека, то почему она lib*.so, и почему она упакована непосредственно в %_libdir? Как её загружают - dlopen'ом? Получается, что единственное доступное нам решение задачи, чтобы в nss были те же сертификаты, что и в openssl с gnutls - это заменить libnssckbi.so, который использует nss, ссылкой на альтернативного провайдера (/usr/lib64/pkcs11/p11-kit-trust.so), который это реализует. Можно, конечно, управлять этой ссылкой с помощью механизма альтернатив, но я не вижу в этом смысла. Если какая-то версия nss перестанет работать с p11-kit-trust.so, то эту ссылку придётся временно заменить на файл, поставляемый с libnss, до тех пор, пока p11-kit-trust.so снова не заработает, после чего ссылку можно будет вернуть, поставив соответствующие зависимости (в данном случае, наверное, конфликты). Чем в этой ситуации поможет механизм альтернатив? -- ldv [-- Attachment #2: signature.asc --] [-- Type: application/pgp-signature, Size: 801 bytes --]
next prev parent reply other threads:[~2017-12-22 22:37 UTC|newest] Thread overview: 37+ messages / expand[flat|nested] mbox.gz Atom feed top 2017-12-21 15:48 Mikhail Efremov 2017-12-21 23:21 ` Mikhail Efremov 2017-12-29 15:38 ` Mikhail Efremov 2017-12-29 15:53 ` Dmitry V. Levin 2017-12-29 16:08 ` Dmitry V. Levin 2017-12-29 16:29 ` Mikhail Efremov 2018-01-09 23:22 ` Mikhail Efremov 2018-01-09 23:33 ` Mikhail Efremov 2018-01-10 0:41 ` Ivan Zakharyaschev 2017-12-22 0:36 ` Alexey Gladkov 2017-12-22 1:28 ` Dmitry V. Levin 2017-12-22 2:26 ` Alexey Gladkov 2017-12-22 16:33 ` Mikhail Efremov 2017-12-22 22:37 ` Dmitry V. Levin [this message] 2017-12-22 23:53 ` Alexey Gladkov 2017-12-22 23:58 ` Dmitry V. Levin 2017-12-23 0:30 ` Alexey Gladkov 2017-12-23 0:05 ` Alexey Gladkov 2017-12-23 0:22 ` Dmitry V. Levin 2017-12-23 0:35 ` Alexey Gladkov 2017-12-23 0:58 ` Dmitry V. Levin 2017-12-23 1:07 ` Alexey Gladkov 2017-12-23 11:54 ` Mikhail Efremov 2017-12-23 12:00 ` Dmitry V. Levin 2017-12-23 23:58 ` Mikhail Efremov 2017-12-24 0:04 ` [devel] RFC: *-install-test Dmitry V. Levin 2017-12-24 1:05 ` Alexey Gladkov 2017-12-24 1:09 ` Dmitry V. Levin 2018-01-06 23:22 ` Dmitry V. Levin 2018-01-07 0:23 ` Alexey Tourbin 2018-01-07 0:46 ` Dmitry V. Levin 2018-01-07 6:25 ` Alexey Tourbin 2018-01-07 10:49 ` Dmitry V. Levin 2017-12-24 10:08 ` [devel] check_*_pkg? Was: " Ivan Zakharyaschev 2017-12-23 11:21 ` [devel] RFC: ca-certificates a la Fedora Mikhail Efremov 2017-12-23 11:58 ` Dmitry V. Levin 2017-12-23 14:54 ` Alexey V. Vissarionov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20171222223709.GB29859@altlinux.org \ --to=ldv@altlinux.org \ --cc=devel@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git