From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <45CC33D1.5050609@altlinux.org> Date: Fri, 09 Feb 2007 11:41:53 +0300 From: Mikhail Yakshin User-Agent: Thunderbird 1.5.0.5 (X11/20060822) MIME-Version: 1.0 To: ALT Devel discussion list References: <45CBA28F.9020804@altlinux.org> In-Reply-To: Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [devel] I: TLS/SSL policy - broken packages X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Devel discussion list List-Id: ALT Devel discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 09 Feb 2007 08:44:04 -0000 Archived-At: List-Archive: List-Post: Vladimir V. Kamarzin пишет: >>>>>> On 09 Feb 2007 at 03:22 "MY" == Mikhail Yakshin writes: > > MY> unreal - несет в себе некий серверный самоподписанный сертификат с > MY> такими параметрами: > > MY> Issuer: C=RU, ST=Moskovskaya Oblast, L=Korolev, O=Fly Net, OU=Server > MY> development team, CN=irc.fly > MY> Subject: C=RU, ST=Moskovskaya Oblast, L=Korolev, O=Fly Net, OU=Server > MY> development team, CN=irc.fly > MY> Validity > MY> Not Before: Apr 19 17:46:40 2005 GMT > MY> Not After : Apr 19 17:46:40 2006 GMT > > MY> Самое главное - он уже давно просрочен. Прошу комментариев у > MY> мейнтейнера, что это за сертификат и не имеет ли смысл заменить его либо > MY> на автоматически генерящийся, либо на подписанный нашим CA, например? > > Это сертификат, используемый для линковки серверов и для secure-соединений > клиентов. Он точно не специфичен для какой-нибудь сети там, нет? Я плохо представляю, может быть у IRC-серверов какая-то своя CA есть и, соответственно, там должны поставлять какие-то особые сертификаты? Если нет - тогда можно просто сгенерировать свежий. > Предполагалось, что администратор сервера должен вместо него > положить свой сертификат. А дефолтный действительно лучше заменить на > какой-нибудь более подходящий, только не знаю как лучше сделать. Ok, сейчас решим, не будет ли у нас единого способа генерации таких тестовых сертификатов, и если будет - то все, возможно, заменится на один макрос. > MY> freeradius - практически тот же вопрос, что и про MySQL. Пакет несет у > MY> себя внутри примеры сертификатов и CA, но после прочтения > MY> /etc/raddb/certs/README возникает вопрос - что будет, если положить ему > MY> просто один сертификат, подписанный тем CA, что указан у нас в bundle? > MY> Подхватится ли? > > Да, скорее всего подхватится. =) На этот вопрос надо однозначно, т.е. либо посмотреть в код, либо проверить. -- WBR, GreyCat