From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <greycat@altlinux.org>
Message-ID: <45CC2E6B.5030108@altlinux.org>
Date: Fri, 09 Feb 2007 11:18:51 +0300
From: Mikhail Yakshin <greycat@altlinux.org>
User-Agent: Thunderbird 1.5.0.5 (X11/20060822)
MIME-Version: 1.0
To: ALT Devel discussion list <devel@lists.altlinux.org>
References: <45CBA28F.9020804@altlinux.org>
	<20070208225219.GA25014@hell.immo.ru>
In-Reply-To: <20070208225219.GA25014@hell.immo.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [devel] I: TLS/SSL policy - broken packages
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.9rc1
Precedence: list
Reply-To: ALT Devel discussion list <devel@lists.altlinux.org>
List-Id: ALT Devel discussion list <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 09 Feb 2007 08:21:02 -0000
Archived-At: <http://lore.altlinux.org/devel/45CC2E6B.5030108@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Alexey I. Froloff пишет:
> * Mikhail Yakshin <greycat@> [070209 01:25]:
>> mutt1.5 - несет в себе древний
>> /usr/share/doc/mutt1.5-1.5.13/samples/ca-bundle.crt из Netscape 4.72,
>> который рекомендуется копировать в ~/.smime/ca-bundle.crt, чтобы mutt
>> его нашел и использовал. Прошу пояснений мейнтейнера, можно ли заставить
>> mutt использовать стандартные механзимы поиска списка CA через openssl?
> Это одно из значений опции smime_ca_location, используется для
> проверки S/MIME подписи.  Передаётся (если выставлена) значением
> опции -CAfile/-CApath при запуске openssl ("%C").
> 
> 3.214. smime_ca_location
> 
>    Type: path
>    Default: ""
> 
>    This variable contains the name of either a directory, or a file which
>    contains trusted certificates for use with OpenSSL. (S/MIME only)
> 
> 3.216. smime_decrypt_command (для всех smime_*_command одинаково)
> ...
>    %C
>           CA location: Depending on whether $smime_ca_location points to a
>           directory or file, this expands to "-CApath $smime_ca_location"
>           or "-CAfile $smime_ca_location".

То есть, насколько я понял, без патчей - нельзя. Встает вопрос, что делать:

1. (самое сложное) Пропатчить mutt, чтобы он использовал 
OPENSSL_config(3) и подхватывал наш CA bundle.

2. (самое простое) Убрать из пакета ca-bundle.crt и положить README.ALT 
с упоминанием, что default CA bundle доступен в системе там-то и личная 
задача каждого пользователя, который хочет S/MIME - настраивать mutt на 
использование этого CA bundle.

3. (сомнительное) По умолчанию настроить в mutt system-wide на наш CA 
bundle. Не очень знаю mutt и не представляю, возможно ли это технически 
и что от этого сломается.

-- 
WBR, GreyCat