From: "Dmitry V. Levin" <ldv@altlinux.org> To: ALT Devel discussion list <devel@lists.altlinux.org> Subject: Re: [devel] RFC: ca-certificates a la Fedora Date: Sat, 23 Dec 2017 03:22:39 +0300 Message-ID: <20171223002239.GA32333@altlinux.org> (raw) In-Reply-To: <20171223000513.GC30110@comp-core-i7-2640m-0182e6.fortress> [-- Attachment #1: Type: text/plain, Size: 2290 bytes --] On Sat, Dec 23, 2017 at 01:05:13AM +0100, Alexey Gladkov wrote: > On Fri, Dec 22, 2017 at 07:33:46PM +0300, Mikhail Efremov wrote: > > > Если всё как сказал sem@ и действительно есть полная совместимость, то > > > проблем не будет. Если несовместимость всё-таки появится/может появиться, > > > то пользователи смогут переключиться на апстримную библиотеку (хотя бы > > > временно). Это лучше, чем класть все яйца в одну корзину. > > > > Если сделать так: > > ln -s /usr/lib64/pkcs11/p11-kit-trust.so /etc/pki/nssdb/libnssckbi.so > > то certutil -L -d sql:/etc/pki/nssdb/ -h 'Builtin Object Token' > > начинает выдавать список сертификатов из p11-kit. > > Отлично! Если сборочная зависимость на p11-kit-trust.so не напрягает, то можно добавить какой-нибудь аналогичный тест в %check пакета nss. > > > Сейчас с обновлением nss firefox, thunderbird и chromium получают новую > > > базу (это почти правде). Если ca-certificates обновляются из того же > > > источника,тогда почему он не собирается из libnss ? > > > > В принципе можно собирать и из libnss, но мне кажется отдельным пакетом > > удобнее. Можно будет вносить изменения в скрипты не пересобирая ради > > этого libnss или собрать новую версию с новыми сертификатами не > > дожидаясь выхода новой libnss. И ничего не мешает обновлять > > ca-certificates синхронно с выходом новой версии libnss. > > Я совершенно не настаиваю :) В новой редакции пакета ca-certificates, который мы обсуждаем, есть сборочные зависимости на openssl, asciidoc, asciidoc-a2x, и libxslt. Я не уверен, что ты хочешь такие сборочные зависимости в пакете nss. :) 2sem: а зачем сборочная зависимость на libxslt? Это же библиотека, которая должна вытягиваться по зависимостям, если она нужна. > > Впрочем, мне все рано в этом варианте не нравится, что у libnss может > > быть другой набор CA сертификатов. Идея как раз в том, чтобы иметь > > единый набор CA сертификатов для всех библиотек. И управлять уже им. > > Добавил сертификат - все приложения начинают ему доверять, не зависимо > > от того, используют ли они openssl, gnutls или nss. Ну и с blacklist, > > соответственно, так же. > > Тогда давайте сделаем альтертанивы. Альтернативы? :) Непосредственно на %_libdir/libnssckbi.so ? -- ldv [-- Attachment #2: signature.asc --] [-- Type: application/pgp-signature, Size: 801 bytes --]
next prev parent reply other threads:[~2017-12-23 0:22 UTC|newest] Thread overview: 37+ messages / expand[flat|nested] mbox.gz Atom feed top 2017-12-21 15:48 Mikhail Efremov 2017-12-21 23:21 ` Mikhail Efremov 2017-12-29 15:38 ` Mikhail Efremov 2017-12-29 15:53 ` Dmitry V. Levin 2017-12-29 16:08 ` Dmitry V. Levin 2017-12-29 16:29 ` Mikhail Efremov 2018-01-09 23:22 ` Mikhail Efremov 2018-01-09 23:33 ` Mikhail Efremov 2018-01-10 0:41 ` Ivan Zakharyaschev 2017-12-22 0:36 ` Alexey Gladkov 2017-12-22 1:28 ` Dmitry V. Levin 2017-12-22 2:26 ` Alexey Gladkov 2017-12-22 16:33 ` Mikhail Efremov 2017-12-22 22:37 ` Dmitry V. Levin 2017-12-22 23:53 ` Alexey Gladkov 2017-12-22 23:58 ` Dmitry V. Levin 2017-12-23 0:30 ` Alexey Gladkov 2017-12-23 0:05 ` Alexey Gladkov 2017-12-23 0:22 ` Dmitry V. Levin [this message] 2017-12-23 0:35 ` Alexey Gladkov 2017-12-23 0:58 ` Dmitry V. Levin 2017-12-23 1:07 ` Alexey Gladkov 2017-12-23 11:54 ` Mikhail Efremov 2017-12-23 12:00 ` Dmitry V. Levin 2017-12-23 23:58 ` Mikhail Efremov 2017-12-24 0:04 ` [devel] RFC: *-install-test Dmitry V. Levin 2017-12-24 1:05 ` Alexey Gladkov 2017-12-24 1:09 ` Dmitry V. Levin 2018-01-06 23:22 ` Dmitry V. Levin 2018-01-07 0:23 ` Alexey Tourbin 2018-01-07 0:46 ` Dmitry V. Levin 2018-01-07 6:25 ` Alexey Tourbin 2018-01-07 10:49 ` Dmitry V. Levin 2017-12-24 10:08 ` [devel] check_*_pkg? Was: " Ivan Zakharyaschev 2017-12-23 11:21 ` [devel] RFC: ca-certificates a la Fedora Mikhail Efremov 2017-12-23 11:58 ` Dmitry V. Levin 2017-12-23 14:54 ` Alexey V. Vissarionov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20171223002239.GA32333@altlinux.org \ --to=ldv@altlinux.org \ --cc=devel@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git