From: Vitaly Lipatov <lav@altlinux.ru> To: ALT Linux Team development discussions <devel@lists.altlinux.org> Cc: "Alexey V. Vissarionov" <gremlin@altlinux.org> Subject: Re: [devel] ca-trust и objsign Date: Mon, 08 Apr 2024 15:00:18 +0300 Message-ID: <77572dc5c1bf67d36a82b280a2abc97d@altlinux.ru> (raw) In-Reply-To: <20240408102400.GA28851@altlinux.org> Alexey V. Vissarionov писал(а) 8.4.24 13:24: > Good ${greeting_time}! > > On 2024-04-07 20:30:26 +0300, Vitaly Lipatov wrote: > > > Обратил внимание, в > > /etc/pki/ca-trust/extracted/pem/objsign-ca-bundle.pem в отличие > > от других дистрибутивов, у нас не заполнен (по факту пуст в > > свежеустановленной системе). > > И это очень хорошо. Замечу, что при установке ca-certificates-digital.gov.ru сертификаты оттуда попадают в objsign. > > > При этом оказалось, что dotnet активно использует сертификаты > > для проверки подлинности модулей, и в итоге проверить не может. > > Сертификаты источников этих модулей нужно добавлять явно. И только > тех, которым мы действительно доверяем. А в каких местах это доверие может использоваться? Например, в Windows может проверяться подпись exe-файлов перед выполнением. А что у нас в системе может быть завязано на эти сертификаты? ... > Насколько я понимаю, строго сформулированной политики нет, но > явное добавление каждого нужного сертификата лично мне видится > единственным разумным решением. ... > При этом, повторю, зависимостей от пакетов с этими сертификатами > быть не должно: ответственность за их появление в системе нужно > возложить на пользователя, а не на мейнтейнера. Я мог бы вписать это в соответствующее Policy, если нет возражений или других мнений. Со своей стороны посмотрю детальнее, как решить возникшую проблему со сборкой приложений dotnet. -- С уважением, Виталий Липатов, ALT Linux Team
next prev parent reply other threads:[~2024-04-08 12:00 UTC|newest] Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top 2024-04-07 17:30 Vitaly Lipatov 2024-04-08 10:24 ` Alexey V. Vissarionov 2024-04-08 12:00 ` Vitaly Lipatov [this message] 2024-04-08 16:23 ` Mikhail Efremov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=77572dc5c1bf67d36a82b280a2abc97d@altlinux.ru \ --to=lav@altlinux.ru \ --cc=devel@lists.altlinux.org \ --cc=gremlin@altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git