From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <gremlin@basealt.ru>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-4.3 required=5.0 tests=ALL_TRUSTED,BAYES_00,
 HEADER_FROM_DIFFERENT_DOMAINS,RP_MATCHES_RCVD autolearn=unavailable
 autolearn_force=no version=3.4.1
Date: Mon, 8 Apr 2024 13:24:00 +0300
From: "Alexey V. Vissarionov" <gremlin@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Message-ID: <20240408102400.GA28851@altlinux.org>
References: <64ac3df0ee6277bf2ee240565598de38@etersoft.ru>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <64ac3df0ee6277bf2ee240565598de38@etersoft.ru>
Subject: Re: [devel] =?koi8-r?b?Y2EtdHJ1c3QgySBvYmpzaWdu?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 08 Apr 2024 10:24:07 -0000
Archived-At: <http://lore.altlinux.org/devel/20240408102400.GA28851@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Good ${greeting_time}!

On 2024-04-07 20:30:26 +0300, Vitaly Lipatov wrote:

 > Обратил внимание, в
 > /etc/pki/ca-trust/extracted/pem/objsign-ca-bundle.pem в отличие
 > от других дистрибутивов, у нас не заполнен (по факту пуст в
 > свежеустановленной системе).

И это очень хорошо.

 > При этом оказалось, что dotnet активно использует сертификаты
 > для проверки подлинности модулей, и в итоге проверить не может.

Сертификаты источников этих модулей нужно добавлять явно. И только
тех, которым мы действительно доверяем.

 > В качестве временного хака я добавил ca-certificates-nuget.org
 > https://packages.altlinux.org/ru/sisyphus/srpms/ca-certificates-nuget.org/
 > но он не помогает в больших реальных проектах.

В целом правильно. Лишь бы никто сдуру этот пакет в зависимости
не влепил.

 > Какая у нас политика, можем ли мы разместить там все сертификаты
 > для проверки подписи объектников, или допустимо только точечное
 > добавление?

Насколько я понимаю, строго сформулированной политики нет, но
явное добавление каждого нужного сертификата лично мне видится
единственным разумным решением.

При этом, повторю, зависимостей от пакетов с этими сертификатами
быть не должно: ответственность за их появление в системе нужно
возложить на пользователя, а не на мейнтейнера.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net