From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <45CC32AD.5040402@altlinux.org> Date: Fri, 09 Feb 2007 11:37:01 +0300 From: Mikhail Yakshin User-Agent: Thunderbird 1.5.0.5 (X11/20060822) MIME-Version: 1.0 To: ALT Devel discussion list References: <45CBA28F.9020804@altlinux.org> <20070208232713.GA22956@lks.home> In-Reply-To: <20070208232713.GA22956@lks.home> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [devel] I: TLS/SSL policy - broken packages X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Devel discussion list List-Id: ALT Devel discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 09 Feb 2007 08:39:12 -0000 Archived-At: List-Archive: List-Post: Konstantin A. Lepikhov пишет: > Hi Mikhail! > > Friday 09, at 01:22:07 AM you wrote: > .. >> firefox, thunderbird, xulrunner, seamonkey, libnspr - общая замечание ко >> всем, использующим NSS - имеет смысл, видимо, при сборке добавлять новый >> ALT CA таким builtin token, как сейчас добавляется старый (в файле типа >> firefox-0.9-alt-ssl-addon-certs.txt). В идеале - не просто добавлять >> один CA, а устроить обратное преобразование из PEM в формат файла >> сертификатов Gecko-образных. > кажется, у нас все-таки сделано наоборт ;) Надо как-то закрепить технологический процесс. По идее - если мы - сами себе хозяева, то и CA bundle тоже должен собираться самостоятельно, на основе каких-то мотиваций мейнтейнера соответствующего пакета (или может быть создать tls team?) Т.е. единовременная конвертация из сертификатов из gecko - хорошо, но дальше может быть ее поддерживать самим? И, соответственно, строить преобразование именно в сторону ca-certificates => gecko? >> MySQL-server - несет в себе в документации пример сертификата CA, >> который используется как сервером, так и клиентом. Несмотря на то, что >> сертификат в документации и отключен по умолчанию, при реальном >> использовании его или аналогов требуется указание положения некоего CA >> bundle через ключ типа "ssl-ca=SSL/cacert.pem". Вопрос к мейнтейнеру - >> нет ли возможности / стоит ли патчить или что-то менять в MySQL, чтобы >> по умолчанию он имел в виду наш общий CA bundle? > только если вынести сервер из chroot'а - поскольку в chroot все равно > придется bundle вручную запихивать. Логично. Тогда пока пропускаем, думаю. Это плавно цепляется за куда более сложный вопрос о том, что вообще будет в ближайшем будущем с chrooted сервисами. > BTW, то же самое придется и делать с postfix. Угу. >> Дополнительный список: >> > ... >> nginx > тут все очень простенько и неинтересно. Даже патчить не надо, т.к. > подобный функционал еще не предусмотрен. Вычеркиваю. -- WBR, GreyCat