From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <legion@altlinux.ru>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.4 required=5.0 tests=BAYES_00,URI_NOVOWEL
 autolearn=ham autolearn_force=no version=3.4.1
Date: Sat, 23 Dec 2017 01:05:13 +0100
From: Alexey Gladkov <legion@altlinux.ru>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Message-ID: <20171223000513.GC30110@comp-core-i7-2640m-0182e6.fortress>
References: <20171221184816.2968172e@sem.office.basealt.ru>
 <20171222003606.GJ4981@comp-core-i7-2640m-0182e6.fortress>
 <20171222012805.GA16098@altlinux.org>
 <20171222022648.GA30110@comp-core-i7-2640m-0182e6.fortress>
 <20171222193346.035680ab@sem.office.basealt.ru>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20171222193346.035680ab@sem.office.basealt.ru>
Subject: Re: [devel] RFC: ca-certificates a la Fedora
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sat, 23 Dec 2017 00:05:27 -0000
Archived-At: <http://lore.altlinux.org/devel/20171223000513.GC30110@comp-core-i7-2640m-0182e6.fortress/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Fri, Dec 22, 2017 at 07:33:46PM +0300, Mikhail Efremov wrote:
> > Если всё как сказал sem@ и действительно есть полная совместимость, то
> > проблем не будет. Если несовместимость всё-таки появится/может появиться,
> > то пользователи смогут переключиться на апстримную библиотеку (хотя бы
> > временно). Это лучше, чем класть все яйца в одну корзину.
> 
> Если сделать так:
> ln -s /usr/lib64/pkcs11/p11-kit-trust.so /etc/pki/nssdb/libnssckbi.so
> то certutil -L -d sql:/etc/pki/nssdb/ -h 'Builtin Object Token'
> начинает выдавать список сертификатов из p11-kit.

Отлично!

> > Сейчас с обновлением nss firefox, thunderbird и chromium получают новую
> > базу (это почти правде). Если ca-certificates обновляются из того же
> > источника,тогда почему он не собирается из libnss ?
> 
> В принципе можно собирать и из libnss, но мне кажется отдельным пакетом
> удобнее. Можно будет вносить изменения в скрипты не пересобирая ради
> этого libnss или собрать новую версию с новыми сертификатами не
> дожидаясь выхода новой libnss. И ничего не мешает обновлять
> ca-certificates синхронно с выходом новой версии libnss.

Я совершенно не настаиваю :)

> Впрочем, мне все рано в этом варианте не нравится, что у libnss может
> быть другой набор CA сертификатов. Идея как раз в том, чтобы иметь
> единый набор CA сертификатов для всех библиотек. И управлять уже им.
> Добавил сертификат - все приложения начинают ему доверять, не зависимо
> от того, используют ли они openssl, gnutls или nss. Ну и с blacklist,
> соответственно, так же.

Тогда давайте сделаем альтертанивы.

-- 
Rgrds, legion