From: Vitaly Lipatov <lav@altlinux.ru>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Cc: "Alexey V. Vissarionov" <gremlin@altlinux.org>
Subject: Re: [devel] ca-trust и objsign
Date: Mon, 08 Apr 2024 15:00:18 +0300
Message-ID: <77572dc5c1bf67d36a82b280a2abc97d@altlinux.ru> (raw)
In-Reply-To: <20240408102400.GA28851@altlinux.org>
Alexey V. Vissarionov писал(а) 8.4.24 13:24:
> Good ${greeting_time}!
>
> On 2024-04-07 20:30:26 +0300, Vitaly Lipatov wrote:
>
> > Обратил внимание, в
> > /etc/pki/ca-trust/extracted/pem/objsign-ca-bundle.pem в отличие
> > от других дистрибутивов, у нас не заполнен (по факту пуст в
> > свежеустановленной системе).
>
> И это очень хорошо.
Замечу, что при установке ca-certificates-digital.gov.ru сертификаты
оттуда попадают в objsign.
>
> > При этом оказалось, что dotnet активно использует сертификаты
> > для проверки подлинности модулей, и в итоге проверить не может.
>
> Сертификаты источников этих модулей нужно добавлять явно. И только
> тех, которым мы действительно доверяем.
А в каких местах это доверие может использоваться? Например, в Windows
может проверяться подпись exe-файлов перед выполнением.
А что у нас в системе может быть завязано на эти сертификаты?
...
> Насколько я понимаю, строго сформулированной политики нет, но
> явное добавление каждого нужного сертификата лично мне видится
> единственным разумным решением.
...
> При этом, повторю, зависимостей от пакетов с этими сертификатами
> быть не должно: ответственность за их появление в системе нужно
> возложить на пользователя, а не на мейнтейнера.
Я мог бы вписать это в соответствующее Policy, если нет возражений или
других мнений.
Со своей стороны посмотрю детальнее, как решить возникшую проблему со
сборкой приложений dotnet.
--
С уважением,
Виталий Липатов,
ALT Linux Team
next prev parent reply other threads:[~2024-04-08 12:00 UTC|newest]
Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top
2024-04-07 17:30 Vitaly Lipatov
2024-04-08 10:24 ` Alexey V. Vissarionov
2024-04-08 12:00 ` Vitaly Lipatov [this message]
2024-04-08 16:23 ` Mikhail Efremov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=77572dc5c1bf67d36a82b280a2abc97d@altlinux.ru \
--to=lav@altlinux.ru \
--cc=devel@lists.altlinux.org \
--cc=gremlin@altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git