ALT Linux Team development discussions
 help / color / mirror / Atom feed
* [devel] RFC: ca-certificates a la Fedora
@ 2017-12-21 15:48 Mikhail Efremov
  2017-12-21 23:21 ` Mikhail Efremov
  2017-12-22  0:36 ` Alexey Gladkov
  0 siblings, 2 replies; 37+ messages in thread
From: Mikhail Efremov @ 2017-12-21 15:48 UTC (permalink / raw)
  To: ALT Linux Team development discussions

Hello!

Я сейчас готовлю ca-certificates (сегодня сделаю тестовое задание) с
использованием p11-kit (https://p11-glue.freedesktop.org/), как в
Федоре.
Их схема выглядит вполне разумной, скрипт на питоне для генерации
p11-kit-бандла я тоже взял из Федоры (там есть часть про legacy trust,
которая у нас не актуальна, но она не мешает и проще оставить, чем
выкидывать).
При использовании этой схемы, добавление дополнительных CA сертификатов
(или blacklist неугодных), становится очень простым делом.
Пакеты ca-gost-certificates и ca-gost-certificates-auc должны будут
просто положить сертификаты, которым нужно доверять,
в /usr/share/pki/ca-trust-source/anchors/ (можно прям в DER формате)
и больше не делать ничего.
Это должно работать с openssl и gnutls, а вот с nss проблема: я так
понимаю, что nss использует собственный бандл, а не системный, и
использует libnssckbi.so для работы с ним. В p11-kit используется модуль
pkcs11/p11-kit-trust.so и утверждается, что он бинарно совместим с
libnssckbi.so, так что в Федоре некоторое время имели модули
libnssckbi.so и p11-kit-trust.so на альтернативах, а сейчас просто
выкинули libnssckbi.so из nss
(https://bugzilla.redhat.com/show_bug.cgi?id=1484449).
Но даже если про бинарную совместимость - это правда, то у меня есть
сомнения, что это всегда будет так в следующих версиях nss и p11-kit и
нас нет автоматической проверки таких вещей при сборке.
Но вообще хорошо бы заставить nss использовать p11-kit-trust.so вместо
libnssckbi.so, тогда у нас действительно будет единое место для
хранения CA сертификатов. Эту проблему придется как-то решать.
В первую очередь мне бы хотелось услышать комментарии от lakostis@,
который уже несколько лет поддерживает ca-certificates в актуальном
состоянии, и legion@, как мантейнера libnss.

-- 
WBR, Mikhail Efremov


^ permalink raw reply	[flat|nested] 37+ messages in thread

end of thread, other threads:[~2018-01-10  0:41 UTC | newest]

Thread overview: 37+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2017-12-21 15:48 [devel] RFC: ca-certificates a la Fedora Mikhail Efremov
2017-12-21 23:21 ` Mikhail Efremov
2017-12-29 15:38   ` Mikhail Efremov
2017-12-29 15:53     ` Dmitry V. Levin
2017-12-29 16:08       ` Dmitry V. Levin
2017-12-29 16:29         ` Mikhail Efremov
2018-01-09 23:22     ` Mikhail Efremov
2018-01-09 23:33       ` Mikhail Efremov
2018-01-10  0:41         ` Ivan Zakharyaschev
2017-12-22  0:36 ` Alexey Gladkov
2017-12-22  1:28   ` Dmitry V. Levin
2017-12-22  2:26     ` Alexey Gladkov
2017-12-22 16:33       ` Mikhail Efremov
2017-12-22 22:37         ` Dmitry V. Levin
2017-12-22 23:53           ` Alexey Gladkov
2017-12-22 23:58             ` Dmitry V. Levin
2017-12-23  0:30               ` Alexey Gladkov
2017-12-23  0:05         ` Alexey Gladkov
2017-12-23  0:22           ` Dmitry V. Levin
2017-12-23  0:35             ` Alexey Gladkov
2017-12-23  0:58               ` Dmitry V. Levin
2017-12-23  1:07                 ` Alexey Gladkov
2017-12-23 11:54                   ` Mikhail Efremov
2017-12-23 12:00                     ` Dmitry V. Levin
2017-12-23 23:58                       ` Mikhail Efremov
2017-12-24  0:04                     ` [devel] RFC: *-install-test Dmitry V. Levin
2017-12-24  1:05                       ` Alexey Gladkov
2017-12-24  1:09                         ` Dmitry V. Levin
2018-01-06 23:22                           ` Dmitry V. Levin
2018-01-07  0:23                             ` Alexey Tourbin
2018-01-07  0:46                               ` Dmitry V. Levin
2018-01-07  6:25                                 ` Alexey Tourbin
2018-01-07 10:49                                   ` Dmitry V. Levin
2017-12-24 10:08                       ` [devel] check_*_pkg? Was: " Ivan Zakharyaschev
2017-12-23 11:21             ` [devel] RFC: ca-certificates a la Fedora Mikhail Efremov
2017-12-23 11:58               ` Dmitry V. Levin
2017-12-23 14:54                 ` Alexey V. Vissarionov

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git