From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <manowar@altlinux.org>
To: devel@lists.altlinux.org
References: <85c03fbd591d2075720764d1c19e7b33@altlinux.ru>
 <20170801154706.GA13538@lks.home> <87mv7ji7a6.fsf@asia.home.dd>
 <20170801182449.GA26891@lks.home> <87ini7hxy4.fsf@asia.home.dd>
 <20170801211738.GA21320@lks.home> <20170802095557.GA28330@imap.altlinux.org>
 <CAGvFrt2S8oj7H6WPV-Z+fu_Oor_UCJqtnKLDUdf0ze1Rjs0Ppw@mail.gmail.com>
 <9ee513b8-275e-ad45-3a01-45ecfabb5fba@altlinux.org>
 <20170802110327.GC3180@comp-core-i7-2640m-0182e6>
 <0548cbb3-6d89-f4a9-453b-6a3ff61d2e2f@pauli.ru>
From: Paul Wolneykien <manowar@altlinux.org>
Organization: ALT Linux
Message-ID: <4107b744-6fba-60f6-b3f4-9baeda0eaa4d@altlinux.org>
Date: Wed, 2 Aug 2017 16:24:41 +0300
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101
 Thunderbird/45.8.0
MIME-Version: 1.0
In-Reply-To: <0548cbb3-6d89-f4a9-453b-6a3ff61d2e2f@pauli.ru>
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Subject: Re: [devel] =?utf-8?b?0JLQt9Cz0LvRj9C0INC90LAg0YHQtdGA0YLQuNGE0Lg=?=
 =?utf-8?b?0LrQsNGC0Ysg0LIgL3Vzci9zaGFyZS9jYS1jZXJ0aWZpY2F0ZXMvY2EtYnVu?=
 =?utf-8?b?ZGxlLmNydCDQuCDRgdC10YDRgtC40YTQuNC60LDRgtGLINCj0KYg0KDQpA==?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 02 Aug 2017 13:24:43 -0000
Archived-At: <http://lore.altlinux.org/devel/4107b744-6fba-60f6-b3f4-9baeda0eaa4d@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

02.08.2017 16:16, Павел Исопенко пишет:
> Добрый день.
> 
> 02.08.2017 14:03, Alexey Gladkov пишет:
>> Тема безусловно горячая т.к. не все мантейнеры пакетов сизифа проживают в
>> России, не говоря уже о пользователях. Поэтому безусловное добавление
>> специфичных сертификатов мне кажется спорным решением.
> Согласен. Как инициатор упоминавшегося выше
> https://bugzilla.altlinux.org/show_bug.cgi?id=33498, склоняюсь к
> варианту всё-таки условного добавления специфичных сертификатов решением
> администратора конкретной системы. Другое дело, что механизм добавления
> крайне желательно запроектировать более-менее удобным и пригодным для
> автоматизации. Может быть Alterator?

  +1. А если иерархия УЦ РФ подразделяется на какие-то достаточно
крупные самостоятельные части, то стоит, наверное, так и представить это
для пользователя. Примерно так, как сейчас выбираются группы пакетов в
инсталляторе. Чтобы можно было указать: вот этим доверяю, а вот этим — нет.

  И в принципе, всё это относится также и к "западным" сертификатам,
разве нет? Взять ту же историю с WoSign: одни люди склонны ей доверять,
а другие — нет.
  Так что может быть имеет смысл сделать единый модуль
"alterator-trusted-cas", в котором пользователь мог бы включать и
выключать группы доверенных корневых сертификатов, как RSA, так и ГОСТ
или что-то иное.
В том числе при установке системы.