From: Mikhail Efremov <sem@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] Почему системные сертификаты хранятся в /usr/share/ca-certificates?
Date: Fri, 18 May 2018 00:21:35 +0300
Message-ID: <20180518002135.61b98b54@sem-notebook> (raw)
In-Reply-To: <CAB_XSX2+15TvnfCqf-Beb1m0HsQ=w8hPrv4SuNrzcyPar7TKTg@mail.gmail.com>
On Thu, 17 May 2018 09:16:57 +0300 Eugine Kosenko wrote:
> Haskell stack, собранный по умолчанию, не может без особых ухищрений
> добраться до своих репозитариев, так как ожидает, что системные
> сертификаты лежат в каталоге /etc/ssl/certs. Это прописано тут:
>
> https://github.com/vincenthz/hs-certificate/blob/master/x509-system/System/X509/Unix.hs#L29-L34
>
> В частности, именно так лежат сертификаты в Ubuntu.
В Debian когда-то так решили. У нас когда-то решили иначе. Как было
раньше в Федоре я не помню, но там запросто мог быть какой-то третий
вариант.
> В принципе, вопрос решается путем установки системной переменной
> SYSTEM_CERTIFICATE_PATH либо приложением небольшого патча к этому
> файлу. Однако интересно, чем обусловлен выбор нынешнего положения
> каталога с сертификатами?
Сейчас в Сизифе используется p11-kit, как и в Федоре, т.е. есть еще
ссылка на сертификаты /etc/pki/tls/certs/ca-bundle.crt, ну и сам
автогенерируемый файл /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.
Можно почитать обсуждение здесь в конце декабря - начале января.
В принципе, для совместимости с какой-нибудь проприетарщиной под
Debian/Ubuntu вполне можно добавить в пакет
ссылку /etc/ssl/certs/ca-certificates.crt, но сейчас такая ссылка
запакована в пакет steam.
Пакеты же собираемые в Сизиф лучше патчить, думаю. Особенно учитывая,
что в Debian тоже давно уже думают о переходе на использование p11-kit,
AFAIR.
--
WBR, Mikhail Efremov
next parent reply other threads:[~2018-05-17 21:21 UTC|newest]
Thread overview: 2+ messages / expand[flat|nested] mbox.gz Atom feed top
2018-05-17 21:21 ` Mikhail Efremov [this message]
2018-05-18 8:35 ` Ivan Zakharyaschev
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20180518002135.61b98b54@sem-notebook \
--to=sem@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git