From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <greycat@altlinux.org>
Message-ID: <45CC33D1.5050609@altlinux.org>
Date: Fri, 09 Feb 2007 11:41:53 +0300
From: Mikhail Yakshin <greycat@altlinux.org>
User-Agent: Thunderbird 1.5.0.5 (X11/20060822)
MIME-Version: 1.0
To: ALT Devel discussion list <devel@lists.altlinux.org>
References: <45CBA28F.9020804@altlinux.org> <m33b5fvp54.fsf@vvk.distance.ru>
In-Reply-To: <m33b5fvp54.fsf@vvk.distance.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [devel] I: TLS/SSL policy - broken packages
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.9rc1
Precedence: list
Reply-To: ALT Devel discussion list <devel@lists.altlinux.org>
List-Id: ALT Devel discussion list <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 09 Feb 2007 08:44:04 -0000
Archived-At: <http://lore.altlinux.org/devel/45CC33D1.5050609@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Vladimir V. Kamarzin пишет:
>>>>>> On 09 Feb 2007 at 03:22 "MY" == Mikhail Yakshin writes:
> 
>  MY> unreal - несет в себе некий серверный самоподписанный сертификат с
>  MY> такими параметрами:
> 
>  MY> Issuer: C=RU, ST=Moskovskaya Oblast, L=Korolev, O=Fly Net, OU=Server
>  MY> development team, CN=irc.fly
>  MY> Subject: C=RU, ST=Moskovskaya Oblast, L=Korolev, O=Fly Net, OU=Server
>  MY> development team, CN=irc.fly
>  MY> Validity
>  MY>     Not Before: Apr 19 17:46:40 2005 GMT
>  MY>     Not After : Apr 19 17:46:40 2006 GMT
> 
>  MY> Самое главное - он уже давно просрочен. Прошу комментариев у
>  MY> мейнтейнера, что это за сертификат и не имеет ли смысл заменить его либо
>  MY> на автоматически генерящийся, либо на подписанный нашим CA, например?
> 
> Это сертификат, используемый для линковки серверов и для secure-соединений
> клиентов.

Он точно не специфичен для какой-нибудь сети там, нет? Я плохо 
представляю, может быть у IRC-серверов какая-то своя CA есть и, 
соответственно, там должны поставлять какие-то особые сертификаты? Если 
нет - тогда можно просто сгенерировать свежий.

 > Предполагалось, что администратор сервера должен вместо него
> положить свой сертификат. А дефолтный действительно лучше заменить на
> какой-нибудь более подходящий, только не знаю как лучше сделать.

Ok, сейчас решим, не будет ли у нас единого способа генерации таких 
тестовых сертификатов, и если будет - то все, возможно, заменится на 
один макрос.

>  MY> freeradius - практически тот же вопрос, что и про MySQL. Пакет несет у
>  MY> себя внутри примеры сертификатов и CA, но после прочтения
>  MY> /etc/raddb/certs/README возникает вопрос - что будет, если положить ему
>  MY> просто один сертификат, подписанный тем CA, что указан у нас в bundle?
>  MY> Подхватится ли?
> 
> Да, скорее всего подхватится.

=) На этот вопрос надо однозначно, т.е. либо посмотреть в код, либо 
проверить.

-- 
WBR, GreyCat