From: Mikhail Efremov <sem@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] ca-trust и objsign
Date: Mon, 8 Apr 2024 19:23:03 +0300
Message-ID: <20240408192303.20da765a@sem-nb2> (raw)
In-Reply-To: <64ac3df0ee6277bf2ee240565598de38@etersoft.ru>
[-- Attachment #1: Type: text/plain, Size: 3001 bytes --]
On Sun, 07 Apr 2024 20:30:26 +0300 Vitaly Lipatov wrote:
> Обратил внимание, в
> /etc/pki/ca-trust/extracted/pem/objsign-ca-bundle.pem
> в отличие от других дистрибутивов, у нас не заполнен (по факту — пуст в
> свежеустановленной системе).
Бандл сертификатов в ca-certificates генерится из certdata.txt, который
берется из mozilla nss. И там у всех сертификатов указано
CKA_TRUST_CODE_SIGNING CKT_NSS_MUST_VERIFY_TRUST, что
равнозначно CKT_NSS_NOT_TRUSTED. Поэтому objsign-ca-bundle.pem и пуст:
просто нет сертификатов, которые можно использовать для этих целей.
Сертификаты же, добавленные в anchors, можно использовать для любых
целей, поэтому те же сертификаты из ca-certificates-digital.gov.ru
там появляются.
А вот в Fedora в certdata.txt у многих сертификатов стоит
CKA_TRUST_CODE_SIGNING CKT_NSS_TRUSTED_DELEGATOR, поэтому эти
сертификаты будут добавлены в objsign-ca-bundle.pem.
Где они берут такой certdata.txt я не знаю.
> При этом оказалось, что dotnet активно использует сертификаты для
> проверки подлинности модулей, и в итоге проверить не может.
>
> В качестве временного хака я добавил
> ca-certificates-nuget.org
> https://packages.altlinux.org/ru/sisyphus/srpms/ca-certificates-nuget.org/
> но он не помогает в больших реальных проектах.
Почему? В objsign-ca-bundle.pem же сертификаты в этом случае
добавляются?
> Какая у нас политика, можем ли мы разместить там все сертификаты для
> проверки подписи объектников, или допустимо только точечное добавление?
Вообще, конечно, логичнее было бы менять значение
CKA_TRUST_CODE_SIGNING в certdata.txt для нужных сертификатов, как в
Fedora. Но вопрос как это делать автоматически, не руками же это менять
каждый раз. Брать certdata.txt из Fedora вместо апстримного мне тоже
кажется не лучшей идеей.
Так что вариант с упаковкой в отдельном пакете может и не плохой.
Впрочем, мантейнер ca-certificates - legion@, тут нужно его мнение.
--
WBR, Mikhail Efremov
[-- Attachment #2: Ð¦Ð¸Ñ„Ñ€Ð¾Ð²Ð°Ñ Ð¿Ð¾Ð´Ð¿Ð¸ÑÑŒ OpenPGP --]
[-- Type: application/pgp-signature, Size: 833 bytes --]
prev parent reply other threads:[~2024-04-08 16:23 UTC|newest]
Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top
2024-04-07 17:30 Vitaly Lipatov
2024-04-08 10:24 ` Alexey V. Vissarionov
2024-04-08 12:00 ` Vitaly Lipatov
2024-04-08 16:23 ` Mikhail Efremov [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20240408192303.20da765a@sem-nb2 \
--to=sem@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git