On Sat, Dec 23, 2017 at 01:05:13AM +0100, Alexey Gladkov wrote:
> On Fri, Dec 22, 2017 at 07:33:46PM +0300, Mikhail Efremov wrote:
> > > Если всё как сказал sem@ и действительно есть полная совместимость, то
> > > проблем не будет. Если несовместимость всё-таки появится/может появиться,
> > > то пользователи смогут переключиться на апстримную библиотеку (хотя бы
> > > временно). Это лучше, чем класть все яйца в одну корзину.
> > 
> > Если сделать так:
> > ln -s /usr/lib64/pkcs11/p11-kit-trust.so /etc/pki/nssdb/libnssckbi.so
> > то certutil -L -d sql:/etc/pki/nssdb/ -h 'Builtin Object Token'
> > начинает выдавать список сертификатов из p11-kit.
> 
> Отлично!

Если сборочная зависимость на p11-kit-trust.so не напрягает, то можно
добавить какой-нибудь аналогичный тест в %check пакета nss.

> > > Сейчас с обновлением nss firefox, thunderbird и chromium получают новую
> > > базу (это почти правде). Если ca-certificates обновляются из того же
> > > источника,тогда почему он не собирается из libnss ?
> > 
> > В принципе можно собирать и из libnss, но мне кажется отдельным пакетом
> > удобнее. Можно будет вносить изменения в скрипты не пересобирая ради
> > этого libnss или собрать новую версию с новыми сертификатами не
> > дожидаясь выхода новой libnss. И ничего не мешает обновлять
> > ca-certificates синхронно с выходом новой версии libnss.
> 
> Я совершенно не настаиваю :)

В новой редакции пакета ca-certificates, который мы обсуждаем, есть
сборочные зависимости на openssl, asciidoc, asciidoc-a2x, и libxslt.
Я не уверен, что ты хочешь такие сборочные зависимости в пакете nss. :)

2sem: а зачем сборочная зависимость на libxslt?  Это же библиотека,
которая должна вытягиваться по зависимостям, если она нужна.

> > Впрочем, мне все рано в этом варианте не нравится, что у libnss может
> > быть другой набор CA сертификатов. Идея как раз в том, чтобы иметь
> > единый набор CA сертификатов для всех библиотек. И управлять уже им.
> > Добавил сертификат - все приложения начинают ему доверять, не зависимо
> > от того, используют ли они openssl, gnutls или nss. Ну и с blacklist,
> > соответственно, так же.
> 
> Тогда давайте сделаем альтертанивы.

Альтернативы? :)
Непосредственно на %_libdir/libnssckbi.so ?


-- 
ldv