From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-4.3 required=5.0 tests=ALL_TRUSTED,BAYES_00, HEADER_FROM_DIFFERENT_DOMAINS,RP_MATCHES_RCVD autolearn=unavailable autolearn_force=no version=3.4.1 Date: Mon, 8 Apr 2024 13:24:00 +0300 From: "Alexey V. Vissarionov" To: ALT Linux Team development discussions Message-ID: <20240408102400.GA28851@altlinux.org> References: <64ac3df0ee6277bf2ee240565598de38@etersoft.ru> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <64ac3df0ee6277bf2ee240565598de38@etersoft.ru> Subject: Re: [devel] =?koi8-r?b?Y2EtdHJ1c3QgySBvYmpzaWdu?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 08 Apr 2024 10:24:07 -0000 Archived-At: List-Archive: List-Post: Good ${greeting_time}! On 2024-04-07 20:30:26 +0300, Vitaly Lipatov wrote: > Обратил внимание, в > /etc/pki/ca-trust/extracted/pem/objsign-ca-bundle.pem в отличие > от других дистрибутивов, у нас не заполнен (по факту пуст в > свежеустановленной системе). И это очень хорошо. > При этом оказалось, что dotnet активно использует сертификаты > для проверки подлинности модулей, и в итоге проверить не может. Сертификаты источников этих модулей нужно добавлять явно. И только тех, которым мы действительно доверяем. > В качестве временного хака я добавил ca-certificates-nuget.org > https://packages.altlinux.org/ru/sisyphus/srpms/ca-certificates-nuget.org/ > но он не помогает в больших реальных проектах. В целом правильно. Лишь бы никто сдуру этот пакет в зависимости не влепил. > Какая у нас политика, можем ли мы разместить там все сертификаты > для проверки подписи объектников, или допустимо только точечное > добавление? Насколько я понимаю, строго сформулированной политики нет, но явное добавление каждого нужного сертификата лично мне видится единственным разумным решением. При этом, повторю, зависимостей от пакетов с этими сертификатами быть не должно: ответственность за их появление в системе нужно возложить на пользователя, а не на мейнтейнера. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net