* [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ
@ 2017-07-31 21:31 Vitaly Lipatov
2017-08-01 6:06 ` Vladimir Didenko
` (4 more replies)
0 siblings, 5 replies; 32+ messages in thread
From: Vitaly Lipatov @ 2017-07-31 21:31 UTC (permalink / raw)
To: ALT Devel discussion list; +Cc: dd
Прошу помощи в обсуждении ситуации с корневыми сертификатами, которые у
нас помещаются пакетом ca-certificates в
/usr/share/ca-certificates/ca-bundle.crt и (в идеале) используются всеми
средствами работы с сертификатами.
Стоит задача добавить к этому списку сертификатов как минимум корневые
сертификаты (самоподписанные сертификаты головного удостоверяющего
центра (ГУЦ) РФ
https://e-trust.gosuslugi.ru/MainCA
Ситуация осложняется тем, что ГУЦ передало функции по выдаче
сертификатов различным УЦ (аккредитованным), что приводит к появлению
нескольких тысяч промежуточных сертификатов
https://e-trust.gosuslugi.ru/CA
Чтобы посмотреть на это в действии, я собрал пакет ca-gost-certificates
с сертификатами всех УЦ, формируя файл
/usr/share/ca-gost-certificates/ca-gost-bundle.crt
на основе опубликованного XML-файла, содержащего все сертификаты
https://e-trust.gosuslugi.ru/CA/DownloadTSL?schemaVersion=0
Приклеив (concatenate)
/usr/share/ca-gost-certificates/ca-gost-bundle.crt к системному
/usr/share/ca-certificates/ca-bundle.crt можно добавить в поле видимости
OpenSSL эти сертификаты и он будет с ними работать после настройки
согласно https://www.altlinux.org/ГОСТ_в_OpenSSL
После этого совершенно свободно удалось проверить подпись на упомянутом
XML-файле с помощью xmlsec и модуля xmlsec-openssl.
Поскольку нынешняя архитектура не предусматривает подключение
промежуточных сертификатов, хочу посоветоваться, что мы с ними будем
делать.
Судя по всему, есть мнение, что такие сертификаты не должны включаться в
список ca-bundle.crt:
https://bugzilla.altlinux.org/show_bug.cgi?id=33498
С другой стороны, как я понимаю, ничего опасного в них тоже нет (они
подписаны корневыми УЦ, хотя это пока никто не проверял), кроме того,
что их много и их добавление сильно замедляет подгрузку файла
сертификатов (и запуск команды openssl, например).
Насколько я понимаю ситуацию в мире веб-сервисов (смотрю на примере
nginx, postfix, jabberd2 и т.п.) с установленными SSL-сертификатами, там
приходится применять следующий подход: указывается не только
сертификат, полученный для сайта, но ещё и все промежуточные
сертификаты, чтобы клиент, имеющий скудный набор корневых сертификатов
(в браузере или в ca-bundle.crt) мог удостовериться в его подлинности.
Сертификаты УЦ РФ сейчас практически не используются на сайтах (в
основном по причине проблем с браузерами), но планируются к активному
использованию в подписывании документов, проверке подписей.
Как правило, во всех случаях использования пользователю предлагается
скачать и установить необходимую цепочку сертификатов, что при
повседневном широкой работе с различными организациями мало приемлемо.
К моему большому удивлению, (в openssl) нет механизма (или я его не
заметил) использования нескольких файлов с сертификатами. Даже не
существует стандартного пути, и программы (библиотеки), использующие
ca-bundle.crt, должны сами указывать к нему путь.
Вот перечень проблем на эту тему:
В общем-то в клиенты вшиты разные свои пути, мы делаем для них ссылки
https://bugzilla.altlinux.org/show_bug.cgi?id=31213
add generation /etc/pki/java/cacerts
https://bugzilla.altlinux.org/show_bug.cgi?id=25027
GO не находит корневой сертификат
https://bugzilla.altlinux.org/show_bug.cgi?id=29449
В самом Qt, например, вшито в код
systemCerts.append(QSslCertificate::fromPath(QLatin1String("/etc/pki/tls/certs/ca-bundle.crt")
Пакет openssl делает ссылку /var/lib/ssl/cert.pem на
/usr/share/ca-certificates/ca-bundle.crt
Как я понимаю, потом открывает его, исходя из определения в
openssl/crypto/cryptlib.h
# define X509_CERT_FILE OPENSSLDIR "/cert.pem"
Вопросы:
1. Существуют ли механизмы, упрощающие совмещение нескольких наборов
сертификатов
(чтобы совместить наборы, идущие в ca-certificates и в
ca-gost-certificates), или предложения, как красиво решить этот вопрос.
2. Существуют ли механизмы, подразумевающие локальное хранение и
обновление промежуточных сертификатов?
И отдельно риторический вопрос: почему поддержка GOST не включена у нас
в openssl из коробки? И хотя бы нет готовой ручки в control. Без этого
массового использования не получится.
--
С уважением,
Виталий Липатов,
Etersoft
^ permalink raw reply [flat|nested] 32+ messages in thread* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-07-31 21:31 [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ Vitaly Lipatov @ 2017-08-01 6:06 ` Vladimir Didenko 2017-08-01 8:54 ` Paul Wolneykien ` (3 subsequent siblings) 4 siblings, 0 replies; 32+ messages in thread From: Vladimir Didenko @ 2017-08-01 6:06 UTC (permalink / raw) To: ALT Linux Team development discussions 1 августа 2017 г., 0:31 пользователь Vitaly Lipatov написал: > > > Судя по всему, есть мнение, что такие сертификаты не должны включаться в > список ca-bundle.crt: > https://bugzilla.altlinux.org/show_bug.cgi?id=33498 На мой взгляд, правильное мнение. > Насколько я понимаю ситуацию в мире веб-сервисов (смотрю на примере nginx, > postfix, jabberd2 и т.п.) с установленными SSL-сертификатами, там приходится > применять следующий подход: указывается не только > сертификат, полученный для сайта, но ещё и все промежуточные сертификаты, > чтобы клиент, имеющий скудный набор корневых сертификатов (в браузере или в > ca-bundle.crt) мог удостовериться в его подлинности. Да, это требование RFC SSL/TLS. > > К моему большому удивлению, (в openssl) нет механизма (или я его не заметил) > использования нескольких файлов с сертификатами. Ну как же, у функции SSL_CTX_load_verify_locations (https://wiki.openssl.org/index.php/Manual:SSL_CTX_load_verify_locations(3)) есть параметр CApath - путь к директории с файлами сертификатов. Более того, файлы подгружаются по мере надобности, а не сразу во время старта. > Даже не существует > стандартного пути, и программы (библиотеки), использующие ca-bundle.crt, > должны сами указывать к нему путь. А X509_get_default_cert_*() не решают эту проблему? -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-07-31 21:31 [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ Vitaly Lipatov 2017-08-01 6:06 ` Vladimir Didenko @ 2017-08-01 8:54 ` Paul Wolneykien 2017-08-01 14:22 ` Dmitry V. Levin ` (2 subsequent siblings) 4 siblings, 0 replies; 32+ messages in thread From: Paul Wolneykien @ 2017-08-01 8:54 UTC (permalink / raw) To: devel 01.08.2017 00:31, Vitaly Lipatov пишет: > К моему большому удивлению, (в openssl) нет механизма (или я его не > заметил) использования нескольких файлов с сертификатами. Даже не > существует стандартного пути, и программы (библиотеки), использующие > ca-bundle.crt, должны сами указывать к нему путь. А если просто конкатенировать несколько PEM в один, как это делается обычно для того же nginx? ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-07-31 21:31 [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ Vitaly Lipatov 2017-08-01 6:06 ` Vladimir Didenko 2017-08-01 8:54 ` Paul Wolneykien @ 2017-08-01 14:22 ` Dmitry V. Levin 2017-08-01 15:47 ` Konstantin Lepikhov 2017-08-01 17:51 ` Paul Wolneykien 4 siblings, 0 replies; 32+ messages in thread From: Dmitry V. Levin @ 2017-08-01 14:22 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 299 bytes --] On Tue, Aug 01, 2017 at 12:31:07AM +0300, Vitaly Lipatov wrote: > > Прошу помощи в обсуждении ситуации с корневыми сертификатами, которые у > нас помещаются пакетом ca-certificates в Давайте отложим обсуждение PKI infrastructure, пока заинтересованные находятся в отпусках. -- ldv [-- Attachment #2: signature.asc --] [-- Type: application/pgp-signature, Size: 801 bytes --] ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-07-31 21:31 [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ Vitaly Lipatov ` (2 preceding siblings ...) 2017-08-01 14:22 ` Dmitry V. Levin @ 2017-08-01 15:47 ` Konstantin Lepikhov 2017-08-01 16:26 ` Dmitry Derjavin 2017-08-01 22:57 ` Vitaly Lipatov 2017-08-01 17:51 ` Paul Wolneykien 4 siblings, 2 replies; 32+ messages in thread From: Konstantin Lepikhov @ 2017-08-01 15:47 UTC (permalink / raw) To: ALT Linux Team development discussions Hi Vitaly! On 08/01/17, at 12:31:07 AM you wrote: > > Прошу помощи в обсуждении ситуации с корневыми сертификатами, которые у > нас помещаются пакетом ca-certificates в > /usr/share/ca-certificates/ca-bundle.crt и (в идеале) используются всеми > средствами работы с сертификатами. До сих пор не используются, но такой файл есть и про него знает openssl. > > Стоит задача добавить к этому списку сертификатов как минимум корневые > сертификаты (самоподписанные сертификаты головного удостоверяющего > центра (ГУЦ) РФ > https://e-trust.gosuslugi.ru/MainCA > > Ситуация осложняется тем, что ГУЦ передало функции по выдаче > сертификатов различным УЦ (аккредитованным), что приводит к появлению > нескольких тысяч промежуточных сертификатов > https://e-trust.gosuslugi.ru/CA А где можно ознакомиться с регламентом предоставления статуса ЦА и отчетом аудита, что данные ЦА являются ЦА? > > Чтобы посмотреть на это в действии, я собрал пакет ca-gost-certificates > с сертификатами всех УЦ, формируя файл > /usr/share/ca-gost-certificates/ca-gost-bundle.crt > на основе опубликованного XML-файла, содержащего все сертификаты > https://e-trust.gosuslugi.ru/CA/DownloadTSL?schemaVersion=0 > > Приклеив (concatenate) > /usr/share/ca-gost-certificates/ca-gost-bundle.crt к системному > /usr/share/ca-certificates/ca-bundle.crt можно добавить в поле видимости > OpenSSL эти сертификаты и он будет с ними работать после настройки > согласно https://www.altlinux.org/ГОСТ_в_OpenSSL > > После этого совершенно свободно удалось проверить подпись на упомянутом > XML-файле с помощью xmlsec и модуля xmlsec-openssl. Если напрячься то можно и не так раскорячится. Ну проверили вы что-то, через какой-то блоб, дальше то что? > > Поскольку нынешняя архитектура не предусматривает подключение > промежуточных сертификатов, хочу посоветоваться, что мы с ними будем > делать. Нынешняя архитектура предусматривает работу openssl через список сертификатов, которые прошли процедуру доверия в Mozilla в соответствии с https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/ Все остальное не является сертификатами, которым можно доверять как корневым. Данная система гарантирует, что у вас на уровне утилит которые используют libssl будет ровно такое же поведение как и при использовании браузеров Firefox и Chromium. Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому ряду факторов, если интересно я могу их озвучить отдельным письмом но об этом знают и в руководстве ООО. > > Судя по всему, есть мнение, что такие сертификаты не должны включаться в > список ca-bundle.crt: > https://bugzilla.altlinux.org/show_bug.cgi?id=33498 > С другой стороны, как я понимаю, ничего опасного в них тоже нет (они > подписаны корневыми УЦ, хотя это пока никто не проверял), кроме того, > что их много и их добавление сильно замедляет подгрузку файла > сертификатов (и запуск команды openssl, например). Если вы внимательно читали комментарии к багу, то могли увидеть что сертификаты выпустил Symantec, да-да, тот самый, который хотят забанить и в Chromium и в Mozilla ибо там творится бардак с защитой данных и сертификатов от третьих лиц. Вы же предлагаете еще больший бардак вроде добавить сертификаты УЦ какой-то администрации какого-то края где вообще непонятно что происходит и кто вообще имеет доступы к этим сертификатам. Например, компьютер в сети администрации Х будет хакнут хакером Васей, который потом переподпишет этими сертификатами имена gosuslugi или sberbank.ru. И ваш openssl это проглотит. > > Насколько я понимаю ситуацию в мире веб-сервисов (смотрю на примере > nginx, postfix, jabberd2 и т.п.) с установленными SSL-сертификатами, там > приходится применять следующий подход: указывается не только > сертификат, полученный для сайта, но ещё и все промежуточные > сертификаты, чтобы клиент, имеющий скудный набор корневых сертификатов > (в браузере или в ca-bundle.crt) мог удостовериться в его подлинности. А еще в браузерах используется CRL URL и OCSP для проверки и еще некоторые техники, гарантирующие что ваша база сертификатов не скомпрометирована. Сертификат вам как таковой гарантирует только целостность данных а их не подлинность. > > Сертификаты УЦ РФ сейчас практически не используются на сайтах (в > основном по причине проблем с браузерами), но планируются к активному > использованию в подписывании документов, проверке подписей. > Как правило, во всех случаях использования пользователю предлагается > скачать и установить необходимую цепочку сертификатов, что при > повседневном широкой работе с различными организациями мало приемлемо. У вас есть коммерческие заказчики, которые сидят на Сизифе? Думаю, у них продукты _на базе_ Сизифа где вы как продавец или интегратор вольны делать что хотите. Не надо выставлять собственные проблемы как проблемы мифических "пользователей". Точно также как и рядовой пользователь поставит что-то от ООО где вместо firefox будет firefox-gost с одобренным ФСБ бэкдорами ) > > К моему большому удивлению, (в openssl) нет механизма (или я его не > заметил) использования нескольких файлов с сертификатами. Даже не > существует стандартного пути, и программы (библиотеки), использующие > ca-bundle.crt, должны сами указывать к нему путь. Вам уже ответили письмом ниже, что все есть в libssl нужно только внимательно читать документацию. > Вопросы: > 1. Существуют ли механизмы, упрощающие совмещение нескольких наборов > сертификатов > (чтобы совместить наборы, идущие в ca-certificates и в > ca-gost-certificates), или предложения, как красиво решить этот вопрос. Убедите ФСБ отказаться от сертификации для ГСЦ и вам не нужно будет решать эту проблему. > > 2. Существуют ли механизмы, подразумевающие локальное хранение и > обновление промежуточных сертификатов? ?? > > > И отдельно риторический вопрос: почему поддержка GOST не включена у нас > в openssl из коробки? И хотя бы нет готовой ручки в control. Без этого > массового использования не получится. см. выше. -- WBR et al. ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 15:47 ` Konstantin Lepikhov @ 2017-08-01 16:26 ` Dmitry Derjavin 2017-08-01 18:24 ` Konstantin Lepikhov 2017-08-01 22:57 ` Vitaly Lipatov 1 sibling, 1 reply; 32+ messages in thread From: Dmitry Derjavin @ 2017-08-01 16:26 UTC (permalink / raw) To: ALT Linux Team development discussions Вт, 01 авг 2017, 18:47, Konstantin Lepikhov: >> Ситуация осложняется тем, что ГУЦ передало функции по выдаче >> сертификатов различным УЦ (аккредитованным), что приводит к появлению >> нескольких тысяч промежуточных сертификатов >> https://e-trust.gosuslugi.ru/CA > А где можно ознакомиться с регламентом предоставления статуса ЦА и > отчетом аудита, что данные ЦА являются ЦА? Видимо, там же, где и с данными о статусе аудитора и отчёте о подтверждении его аутентичности. > Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому > ряду факторов, если интересно я могу их озвучить отдельным письмом но об > этом знают и в руководстве ООО. Да, это действительно очень интересно! Озвучьте, пожалуйста. > Вы же предлагаете еще больший бардак вроде добавить сертификаты УЦ > какой-то администрации какого-то края где вообще непонятно что происходит Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных Минкомсвязью. Которыми подписаны, например, сертификаты физических лиц. Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов. > Например, компьютер в сети администрации Х будет хакнут хакером Васей, > который потом переподпишет этими сертификатами имена gosuslugi или > sberbank.ru. И ваш openssl это проглотит. Теоретически, видимо, можно так сделать. Но бояться не нужно, вы ведь сейчас расскажете, почему в браузерах поддержки ГОСТ нет и не будет. ;) > Не надо выставлять собственные проблемы как проблемы мифических > "пользователей". +1 Согласен, давайте не будем додумывать друг за друга, насколько актуальна поставленная задача. А задача на данный момент такова — задействовать имеющуюся весьма развитую PKI. Которая уже существует и прекрасно работает. Учитывая при этом, конечно же, возможные нюансы вроде «хакера Васи» и сайта Госуслуг. -- ~dd ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 16:26 ` Dmitry Derjavin @ 2017-08-01 18:24 ` Konstantin Lepikhov 2017-08-01 19:47 ` Dmitry Derjavin 2017-08-01 22:37 ` Vitaly Lipatov 0 siblings, 2 replies; 32+ messages in thread From: Konstantin Lepikhov @ 2017-08-01 18:24 UTC (permalink / raw) To: devel Hi Dmitry! On 08/01/17, at 07:26:09 PM you wrote: > Вт, 01 авг 2017, 18:47, Konstantin Lepikhov: > > >> Ситуация осложняется тем, что ГУЦ передало функции по выдаче > >> сертификатов различным УЦ (аккредитованным), что приводит к появлению > >> нескольких тысяч промежуточных сертификатов > >> https://e-trust.gosuslugi.ru/CA > > А где можно ознакомиться с регламентом предоставления статуса ЦА и > > отчетом аудита, что данные ЦА являются ЦА? > > Видимо, там же, где и с данными о статусе аудитора и отчёте о > подтверждении его аутентичности. т.е. спросить товарища майора? > > > Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому > > ряду факторов, если интересно я могу их озвучить отдельным письмом но об > > этом знают и в руководстве ООО. > > Да, это действительно очень интересно! Озвучьте, пожалуйста. https://bugzilla.mozilla.org/show_bug.cgi?id=518787#c19 > > > Вы же предлагаете еще больший бардак вроде добавить сертификаты УЦ > > какой-то администрации какого-то края где вообще непонятно что происходит > > Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных > Минкомсвязью. Которыми подписаны, например, сертификаты физических лиц. > Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов. Насколько требования Минкомсвязи соответствуют документу от Mozilla? Как используя несертифицированные СКЗИ вы сможете убедиться в достоверности этих сертификатов? > > > Например, компьютер в сети администрации Х будет хакнут хакером Васей, > > который потом переподпишет этими сертификатами имена gosuslugi или > > sberbank.ru. И ваш openssl это проглотит. > > Теоретически, видимо, можно так сделать. Но бояться не нужно, вы ведь > сейчас расскажете, почему в браузерах поддержки ГОСТ нет и не будет. ;) очень смешно. > > > Не надо выставлять собственные проблемы как проблемы мифических > > "пользователей". > > +1 > > Согласен, давайте не будем додумывать друг за друга, насколько актуальна > поставленная задача. А задача на данный момент такова — задействовать > имеющуюся весьма развитую PKI. Которая уже существует и прекрасно работает. > Учитывая при этом, конечно же, возможные нюансы вроде «хакера Васи» и > сайта Госуслуг. Давайте займемся развитием поддержки PKI Северной Кореи и Китая, там же большой рынок и куча пользователей, если перефразировать вашу шутку. -- WBR et al. ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 18:24 ` Konstantin Lepikhov @ 2017-08-01 19:47 ` Dmitry Derjavin 2017-08-01 21:17 ` Konstantin Lepikhov 2017-08-04 11:36 ` Yury A. Romanov 2017-08-01 22:37 ` Vitaly Lipatov 1 sibling, 2 replies; 32+ messages in thread From: Dmitry Derjavin @ 2017-08-01 19:47 UTC (permalink / raw) To: ALT Linux Team development discussions Вт, 01 авг 2017, 21:24, Konstantin Lepikhov: >> >> https://e-trust.gosuslugi.ru/CA >> > А где можно ознакомиться с регламентом предоставления статуса ЦА и >> > отчетом аудита, что данные ЦА являются ЦА? >> >> Видимо, там же, где и с данными о статусе аудитора и отчёте о >> подтверждении его аутентичности. > т.е. спросить товарища майора? Вы имеете в виду официальный запрос в ФСБ? Да, это один из вариантов. >> > Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому >> > ряду факторов, если интересно я могу их озвучить отдельным письмом но об >> > этом знают и в руководстве ООО. >> >> Да, это действительно очень интересно! Озвучьте, пожалуйста. > https://bugzilla.mozilla.org/show_bug.cgi?id=518787#c19 Думаю, что сейчас, спустя 7 лет, эти инсинуации уже, к счастью, не имеют особого значения. Во многом — благодаря работе ТК26. >> Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных >> Минкомсвязью. Которыми подписаны, например, сертификаты физических лиц. >> Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов. > Насколько требования Минкомсвязи соответствуют документу от Mozilla? Как > используя несертифицированные СКЗИ вы сможете убедиться в достоверности > этих сертификатов? Для того, чтобы убедиться в достоверности сертификатов, не нужны сертифицированные СКЗИ. Этот же момент сознательно или специально эксплуатировали те, кому отвечал автор комментария по ссылке выше. Смотрите, сейчас речь идёт не только о применении ГОСТ там, где его обязательно нужно применять. Наоборот — идея в том, чтобы задействовать имеющуюся инфраструктуру также и «в мирных целях». -- ~dd ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 19:47 ` Dmitry Derjavin @ 2017-08-01 21:17 ` Konstantin Lepikhov 2017-08-01 21:31 ` Alexey Gladkov ` (2 more replies) 2017-08-04 11:36 ` Yury A. Romanov 1 sibling, 3 replies; 32+ messages in thread From: Konstantin Lepikhov @ 2017-08-01 21:17 UTC (permalink / raw) To: ALT Linux Team development discussions Hi Dmitry! On 08/01/17, at 10:47:47 PM you wrote: <skip> > Думаю, что сейчас, спустя 7 лет, эти инсинуации уже, к счастью, не имеют > особого значения. Во многом — благодаря работе ТК26. У вас свой мир, у остальных свой. И если вы живете вместе с товарищем майором и считаете это правильным, не надо это обобщать на других. В Mozilla, как и в остальном мире, не интересно куда прос$#%#$ потратили деньги налогоплательщиков на игрушки под названием "Электронная Россия", ФСТЭК или ТК26. > > >> Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных > >> Минкомсвязью. Которыми подписаны, например, сертификаты физических лиц. > >> Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов. > > Насколько требования Минкомсвязи соответствуют документу от Mozilla? Как > > используя несертифицированные СКЗИ вы сможете убедиться в достоверности > > этих сертификатов? > > Для того, чтобы убедиться в достоверности сертификатов, не нужны > сертифицированные СКЗИ. Этот же момент сознательно или специально > эксплуатировали те, кому отвечал автор комментария по ссылке выше. Как вы проверите достоверность промежуточного ЦА не имея в наличии корневой сертификат? > > Смотрите, сейчас речь идёт не только о применении ГОСТ там, где его > обязательно нужно применять. Наоборот — идея в том, чтобы задействовать > имеющуюся инфраструктуру также и «в мирных целях». Есть поле для деятельности, называется "Платформа от ООО", вот там и дерзайте в "мирных целях". -- WBR et al. ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 21:17 ` Konstantin Lepikhov @ 2017-08-01 21:31 ` Alexey Gladkov 2017-08-02 9:55 ` Michael Shigorin 2 siblings, 0 replies; 32+ messages in thread From: Alexey Gladkov @ 2017-08-01 21:31 UTC (permalink / raw) To: ALT Linux Team development discussions On Tue, Aug 01, 2017 at 11:17:38PM +0200, Konstantin Lepikhov wrote: > Hi Dmitry! > > On 08/01/17, at 10:47:47 PM you wrote: > > <skip> > > Думаю, что сейчас, спустя 7 лет, эти инсинуации уже, к счастью, не имеют > > особого значения. Во многом — благодаря работе ТК26. > У вас свой мир, у остальных свой. И если вы живете вместе с товарищем > майором и считаете это правильным, не надо это обобщать на других. В > Mozilla, как и в остальном мире, не интересно куда прос$#%#$ потратили > деньги налогоплательщиков на игрушки под названием "Электронная Россия", > ФСТЭК или ТК26. Госпада, давайте не выходить за рамки. Вместе с тем, я хочу отметить, что эти "инсинуации" всё ещё имеют значение и чтобы добавить ГОСТ в апстрим nss авторам патча предётся приложить определённые усилия. -- Rgrds, legion ^ permalink raw reply [flat|nested] 32+ messages in thread
[parent not found: <CAGvFrt10YETX54Lrun8_2M4AGDcOFSr16=h=TiJZMm_dYmubjA@mail.gmail.com>]
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ @ 2017-08-01 21:47 ` Konstantin Lepikhov 0 siblings, 0 replies; 32+ messages in thread From: Konstantin Lepikhov @ 2017-08-01 21:47 UTC (permalink / raw) To: devel Hi Aleksey! On 08/02/17, at 12:32:00 AM you wrote: > 2 авг. 2017 г. 12:17 AM пользователь "Konstantin Lepikhov" < > lakostis@altlinux.org> написал: > > Hi Dmitry! > > On 08/01/17, at 10:47:47 PM you wrote: > > <skip> > > Думаю, что сейчас, спустя 7 лет, эти инсинуации уже, к счастью, не имеют > > особого значения. Во многом — благодаря работе ТК26. > У вас свой мир, у остальных свой. И если вы живете вместе с товарищем > майором и считаете это правильным, не надо это обобщать на других. В > Mozilla, как и в остальном мире, не интересно куда прос$#%#$ потратили > деньги налогоплательщиков на игрушки под названием "Электронная Россия", > ФСТЭК или ТК26. > > > > > Прошу _тут_ без политики. > Замечу, что роль "товарища майора", который все сводит к политике, играете > тут Вы и пока только Вы. Пожалуйста, не надо. Если ко мне лезут с политикой ответ будет соответствущий. По существу - есть американский FIPS и есть процедура валидации на соответствие стандарту FIPS, длинный документ, но он в открытом доступе, каждый может ознакомится: http://csrc.nist.gov/groups/STM/cavp/validation.html Расскажите, где достать этот документ для Российской криптографии? -- WBR et al. ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 21:17 ` Konstantin Lepikhov 2017-08-01 21:31 ` Alexey Gladkov @ 2017-08-02 9:55 ` Michael Shigorin 2 siblings, 1 reply; 32+ messages in thread From: Michael Shigorin @ 2017-08-02 9:55 UTC (permalink / raw) To: devel On Tue, Aug 01, 2017 at 11:17:38PM +0200, Konstantin Lepikhov wrote: > В Mozilla, как и в остальном мире, не интересно куда прос$#%#$ > потратили деньги налогоплательщиков на игрушки под названием > "Электронная Россия", ФСТЭК или ТК26. Костик, мне вот интересно, куда "деньги налогоплательщиков" про2384 Mo[FC]o. Да, заодно и Брендана Айка как они протеряли. Осетра урежь, иными словами. -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 32+ messages in thread
[parent not found: <CAGvFrt2S8oj7H6WPV-Z+fu_Oor_UCJqtnKLDUdf0ze1Rjs0Ppw@mail.gmail.com>]
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ @ 2017-08-02 10:39 ` Paul Wolneykien 2017-08-02 10:48 ` Dmitry V. Levin 2017-08-02 11:03 ` Alexey Gladkov 0 siblings, 2 replies; 32+ messages in thread From: Paul Wolneykien @ 2017-08-02 10:39 UTC (permalink / raw) To: devel 02.08.2017 12:59, Aleksey Novodvorsky пишет: > > > 2 авг. 2017 г. 12:56 PM пользователь "Michael Shigorin" > <mike@altlinux.org <mailto:mike@altlinux.org>> написал: > > On Tue, Aug 01, 2017 at 11:17:38PM +0200, Konstantin Lepikhov wrote: > > В Mozilla, как и в остальном мире, не интересно куда прос$#%#$ > > потратили деньги налогоплательщиков на игрушки под названием > > "Электронная Россия", ФСТЭК или ТК26. > > Костик, мне вот интересно, куда "деньги налогоплательщиков" > про2384 Mo[FC]o. Да, заодно и Брендана Айка как они протеряли. > > > В курилку! > Неужели нельзя сдержаться и не выходить за тематику devel@? Если отвлечься от формы, то видно, что коллеги спорят о целесообразности работы над проблемой, об уровнях безопасности гостовой и "западной" криптографий и об уровнях доступа к ней "гостовых" и западных спецслужб соответственно. ИМХО, по содержанию, всё это укладывается в тематику devel@, поскольку каждый FSF developer, так или иначе, берёт на себя ответственность за безопасность пользователя, даже не смотря на "ABS. NO WARRANTY" и т.д. ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-02 10:39 ` Paul Wolneykien @ 2017-08-02 10:48 ` Dmitry V. Levin 2017-08-02 11:03 ` Alexey Gladkov 1 sibling, 0 replies; 32+ messages in thread From: Dmitry V. Levin @ 2017-08-02 10:48 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 552 bytes --] On Wed, Aug 02, 2017 at 01:39:03PM +0300, Paul Wolneykien wrote: > Если отвлечься от формы, то видно, что коллеги спорят о > целесообразности работы над проблемой, об уровнях безопасности гостовой > и "западной" криптографий и об уровнях доступа к ней "гостовых" и > западных спецслужб соответственно. ИМХО, по содержанию, всё это > укладывается в тематику devel@, поскольку каждый FSF developer, так или > иначе, берёт на себя ответственность за безопасность пользователя, даже > не смотря на "ABS. NO WARRANTY" и т.д. Нет. -- ldv [-- Attachment #2: signature.asc --] [-- Type: application/pgp-signature, Size: 801 bytes --] ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-02 10:39 ` Paul Wolneykien 2017-08-02 10:48 ` Dmitry V. Levin @ 2017-08-02 11:03 ` Alexey Gladkov 1 sibling, 1 reply; 32+ messages in thread From: Alexey Gladkov @ 2017-08-02 11:03 UTC (permalink / raw) To: ALT Linux Team development discussions On Wed, Aug 02, 2017 at 01:39:03PM +0300, Paul Wolneykien wrote: > 02.08.2017 12:59, Aleksey Novodvorsky пишет: > > > > > > 2 авг. 2017 г. 12:56 PM пользователь "Michael Shigorin" > > <mike@altlinux.org <mailto:mike@altlinux.org>> написал: > > > > On Tue, Aug 01, 2017 at 11:17:38PM +0200, Konstantin Lepikhov wrote: > > > В Mozilla, как и в остальном мире, не интересно куда прос$#%#$ > > > потратили деньги налогоплательщиков на игрушки под названием > > > "Электронная Россия", ФСТЭК или ТК26. > > > > Костик, мне вот интересно, куда "деньги налогоплательщиков" > > про2384 Mo[FC]o. Да, заодно и Брендана Айка как они протеряли. > > > > > > В курилку! > > Неужели нельзя сдержаться и не выходить за тематику devel@? > > Если отвлечься от формы, то видно, что коллеги спорят о > целесообразности работы над проблемой, об уровнях безопасности гостовой > и "западной" криптографий и об уровнях доступа к ней "гостовых" и > западных спецслужб соответственно. ИМХО, по содержанию, всё это > укладывается в тематику devel@, поскольку каждый FSF developer, так или > иначе, берёт на себя ответственность за безопасность пользователя, даже > не смотря на "ABS. NO WARRANTY" и т.д. Тема безусловно горячая т.к. не все мантейнеры пакетов сизифа проживают в России, не говоря уже о пользователях. Поэтому безусловное добавление специфичных сертификатов мне кажется спорным решением. Но я бы всё-таки подождал с обсуждением этого вопроса, как уже просил Дима. -- Rgrds, legion ^ permalink raw reply [flat|nested] 32+ messages in thread
[parent not found: <0548cbb3-6d89-f4a9-453b-6a3ff61d2e2f@pauli.ru>]
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ @ 2017-08-02 13:24 ` Paul Wolneykien 2017-08-02 14:05 ` Konstantin Lepikhov 0 siblings, 2 replies; 32+ messages in thread From: Paul Wolneykien @ 2017-08-02 13:24 UTC (permalink / raw) To: devel 02.08.2017 16:16, Павел Исопенко пишет: > Добрый день. > > 02.08.2017 14:03, Alexey Gladkov пишет: >> Тема безусловно горячая т.к. не все мантейнеры пакетов сизифа проживают в >> России, не говоря уже о пользователях. Поэтому безусловное добавление >> специфичных сертификатов мне кажется спорным решением. > Согласен. Как инициатор упоминавшегося выше > https://bugzilla.altlinux.org/show_bug.cgi?id=33498, склоняюсь к > варианту всё-таки условного добавления специфичных сертификатов решением > администратора конкретной системы. Другое дело, что механизм добавления > крайне желательно запроектировать более-менее удобным и пригодным для > автоматизации. Может быть Alterator? +1. А если иерархия УЦ РФ подразделяется на какие-то достаточно крупные самостоятельные части, то стоит, наверное, так и представить это для пользователя. Примерно так, как сейчас выбираются группы пакетов в инсталляторе. Чтобы можно было указать: вот этим доверяю, а вот этим — нет. И в принципе, всё это относится также и к "западным" сертификатам, разве нет? Взять ту же историю с WoSign: одни люди склонны ей доверять, а другие — нет. Так что может быть имеет смысл сделать единый модуль "alterator-trusted-cas", в котором пользователь мог бы включать и выключать группы доверенных корневых сертификатов, как RSA, так и ГОСТ или что-то иное. В том числе при установке системы. ^ permalink raw reply [flat|nested] 32+ messages in thread
[parent not found: <CAGvFrt3xFfRe8vgZwR7W6tp=vYEByBAU6-CKqM0U4QmF9Mhkvw@mail.gmail.com>]
[parent not found: <CAGvFrt3XdrtW2dCW=3iw8KekiDMXCy6jACmw6G7V8cfc6VgCBw@mail.gmail.com>]
[parent not found: <CAGvFrt1APFWUFPWVnRo+Xi54zY05_5Y3tafU-SyFCsmtoUy6tQ@mail.gmail.com>]
[parent not found: <CAGvFrt1Ad9CPDz5+5NaCHg8nob3+m8AUvrp3hZXuc04oVQo0uQ@mail.gmail.com>]
[parent not found: <CAGvFrt0UQ7_aS4oUxM4rqr7zLpVsQ9MzKgLAc4jyVbcz6eU8sA@mail.gmail.com>]
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ @ 2017-08-02 13:30 ` Paul Wolneykien 0 siblings, 0 replies; 32+ messages in thread From: Paul Wolneykien @ 2017-08-02 13:30 UTC (permalink / raw) To: devel 02.08.2017 16:29, Aleksey Novodvorsky пишет: > Возможно. > > В том числе при установке системы. > > Не стоит перегружать разными функциями установщик. Опытный пользователь > сам настроит систему, а начинающего это вгонит в ступор. Да. Но это решается через flavour установщика. Может быть для меня критично, чтобы первый запуск системы совершался с правильным набором сертификатов. И мы сможем сделать такой образ. ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-02 13:24 ` Paul Wolneykien @ 2017-08-02 14:05 ` Konstantin Lepikhov 1 sibling, 0 replies; 32+ messages in thread From: Konstantin Lepikhov @ 2017-08-02 14:05 UTC (permalink / raw) To: devel Hi Paul! On 08/02/17, at 04:24:41 PM you wrote: <skip> > +1. А если иерархия УЦ РФ подразделяется на какие-то достаточно > крупные самостоятельные части, то стоит, наверное, так и представить это > для пользователя. Примерно так, как сейчас выбираются группы пакетов в > инсталляторе. Чтобы можно было указать: вот этим доверяю, а вот этим — нет. Это все имеет очень косвенное отношение к проблеме. Проблема в том, что предлагается упростить правила по обеспечению безопасности списка доверенных корневых сертификатов на уровне системы с формулировкой "я не хочу заморачиваться, сделайте красиво". К сожалению, тут такие формулировки неуместны. Неважно какие сертификаты и от какого УЦ там будут, это просто работает по другому: когда есть формальные критерии и изменения им удовлетворяют. Я привел документ (Mozilla Root Store policy)[1], на котором основан список сертификатов ca-bundle в системе, и хотелось бы получить что-то со стороны сторонников "по мирному" и "инсинуаций". PS Mozilla тут только в качестве хранителя ресурса, сертификацией и поддержкой NSS вообще-то занимается RedHat[2]. 1. https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/ 2. https://wiki.mozilla.org/FIPS_Validation -- WBR et al. ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 19:47 ` Dmitry Derjavin 2017-08-01 21:17 ` Konstantin Lepikhov @ 2017-08-04 11:36 ` Yury A. Romanov 1 sibling, 0 replies; 32+ messages in thread From: Yury A. Romanov @ 2017-08-04 11:36 UTC (permalink / raw) To: devel On 01.08.2017 22:47, Dmitry Derjavin wrote: > Вт, 01 авг 2017, 21:24, Konstantin Lepikhov: > >>>>> https://e-trust.gosuslugi.ru/CA >>>> А где можно ознакомиться с регламентом предоставления статуса ЦА и >>>> отчетом аудита, что данные ЦА являются ЦА? >>> >>> Видимо, там же, где и с данными о статусе аудитора и отчёте о >>> подтверждении его аутентичности. >> т.е. спросить товарища майора? > > Вы имеете в виду официальный запрос в ФСБ? Да, это один из вариантов. > >>>> Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому >>>> ряду факторов, если интересно я могу их озвучить отдельным письмом но об >>>> этом знают и в руководстве ООО. >>> >>> Да, это действительно очень интересно! Озвучьте, пожалуйста. >> https://bugzilla.mozilla.org/show_bug.cgi?id=518787#c19 > > Думаю, что сейчас, спустя 7 лет, эти инсинуации уже, к счастью, не имеют > особого значения. Во многом — благодаря работе ТК26. > Да они и раньше не имели никакого смысла: Мозилла не производит и не продаёт СКЗИ. При этом, в апстриме OpenSSL поддержка ГОСТ ещё с версии 1.0.0, а первые патчи в опенсорсе ещё с 2008 года. Здесь смысл в том, что если ты строишь и аттестуешь информационную систему, в требованиях которой есть обязательное использование СКЗИ, туда нельзя поставить апстримный фаерфокс и сказать, что это СКЗИ. >>> Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных >>> Минкомсвязью. Которыми подписаны, например, сертификаты физических лиц. >>> Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов. >> Насколько требования Минкомсвязи соответствуют документу от Mozilla? Как >> используя несертифицированные СКЗИ вы сможете убедиться в достоверности >> этих сертификатов? > > Для того, чтобы убедиться в достоверности сертификатов, не нужны > сертифицированные СКЗИ. Этот же момент сознательно или специально > эксплуатировали те, кому отвечал автор комментария по ссылке выше. > > Смотрите, сейчас речь идёт не только о применении ГОСТ там, где его > обязательно нужно применять. Наоборот — идея в том, чтобы задействовать > имеющуюся инфраструктуру также и «в мирных целях». > ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 18:24 ` Konstantin Lepikhov 2017-08-01 19:47 ` Dmitry Derjavin @ 2017-08-01 22:37 ` Vitaly Lipatov 1 sibling, 0 replies; 32+ messages in thread From: Vitaly Lipatov @ 2017-08-01 22:37 UTC (permalink / raw) To: devel; +Cc: Konstantin Lepikhov Konstantin Lepikhov писал 1.8.17 21:24: ... >> > А где можно ознакомиться с регламентом предоставления статуса ЦА и >> > отчетом аудита, что данные ЦА являются ЦА? >> >> Видимо, там же, где и с данными о статусе аудитора и отчёте о >> подтверждении его аутентичности. > т.е. спросить товарища майора? Возможно, следует начать с порядка аккредитации: https://e-trust.gosuslugi.ru/AccreditationProcess >> > Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому >> > ряду факторов, если интересно я могу их озвучить отдельным письмом но об >> > этом знают и в руководстве ООО. >> >> Да, это действительно очень интересно! Озвучьте, пожалуйста. > https://bugzilla.mozilla.org/show_bug.cgi?id=518787#c19 В этой баге написана какая-то ерунда. Кроме того, что за 5 лет так и не приняли патч, никакого конструктива там не видно. Можно перевести на русский хоть один фактор, кроме вранья о том, что использование не сертифицированной криптографии может быть криминальным? ... >> Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных >> Минкомсвязью. Которыми подписаны, например, сертификаты физических >> лиц. >> Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов. > Насколько требования Минкомсвязи соответствуют документу от Mozilla? Mozilla Firefox — не единственный браузер. И я сомневаюсь, что документ от Mozilla соответствует требованиям Минкомсвязи. И пока для меня некие правила на таком уровне выглядят не более, чем предрассудки. Говоря по-другому, всем известно, что продажа SSL-сертификатов — это продажа воздуха за хорошие деньги, а люди 20 лет этим занимались и довольно успешно. > Как используя несертифицированные СКЗИ вы сможете убедиться в > достоверности этих сертификатов? Повторюсь, https://www.altlinux.org/ГОСТ_в_OpenSSL Берём openssl и проверяем, сертификаты все стандартные, не вижу проблем. >> > Например, компьютер в сети администрации Х будет хакнут хакером Васей, >> > который потом переподпишет этими сертификатами имена gosuslugi или >> > sberbank.ru. И ваш openssl это проглотит. Сертификаты публикует не администрация Х, а уполномоченный федеральный орган на странице https://e-trust.gosuslugi.ru/CA и подписывает список своим ключом. Векторы атаки лучше обсуждать с ними. >> > Не надо выставлять собственные проблемы как проблемы мифических >> > "пользователей". Какие собственные проблемы? Есть ресурсы, к которым нужно подключаться, используя выданные в РФ сертификаты. Это торговые площадки, ГосУслуги, налоговая (сдача налоговой отчётности). И их становится всё больше. И да, у меня, как одного из пользователей всего этого, есть такие проблемы. Не надо грубить, это невежливо. -- С уважением, Виталий Липатов, Etersoft ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 15:47 ` Konstantin Lepikhov 2017-08-01 16:26 ` Dmitry Derjavin @ 2017-08-01 22:57 ` Vitaly Lipatov 2017-08-01 23:48 ` Alexey Gladkov 2017-08-02 8:32 ` Vladimir Didenko 1 sibling, 2 replies; 32+ messages in thread From: Vitaly Lipatov @ 2017-08-01 22:57 UTC (permalink / raw) To: ALT Linux Team development discussions; +Cc: Konstantin Lepikhov Konstantin Lepikhov писал 1.8.17 18:47: > Hi Vitaly! > > On 08/01/17, at 12:31:07 AM you wrote: > >> >> Прошу помощи в обсуждении ситуации с корневыми сертификатами, которые >> у >> нас помещаются пакетом ca-certificates в >> /usr/share/ca-certificates/ca-bundle.crt и (в идеале) используются >> всеми >> средствами работы с сертификатами. > До сих пор не используются, но такой файл есть и про него знает > openssl. Он про него знает всего лишь с помощью /var/lib/ssl/cert.pem is link to /usr/share/ca-certificates/ca-bundle.crt ... >> После этого совершенно свободно удалось проверить подпись на >> упомянутом >> XML-файле с помощью xmlsec и модуля xmlsec-openssl. > Если напрячься то можно и не так раскорячится. Ну проверили вы что-то, > через какой-то блоб, дальше то что? Я проверил не что-то, а файл, содержащий сертификаты всех УЦ, публикуемый уполномоченным органом. Не через блоб, а обычным openssl. Надеюсь, openssl engine, добавляющий поддержку ГОСТ, блобом не считается? >> Поскольку нынешняя архитектура не предусматривает подключение >> промежуточных сертификатов, хочу посоветоваться, что мы с ними будем >> делать. > Нынешняя архитектура предусматривает работу openssl через список > сертификатов, которые прошли процедуру доверия в Mozilla в соответствии > с > https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/ > > Все остальное не является сертификатами, которым можно доверять как > корневым. Данная система гарантирует, что у вас на уровне утилит > которые Вопрос доверия на самом деле достаточно условный. Мы же много лет наблюдали за тем, как CACert, выдававший сертификаты бесплатно, так и не допустили (и я уверен, из-за нежелания терять доходы), а Let's Encrypt раз и взлетел без проблем. Вы вот доверяете инфраструктуре выдачи и получения ключей, предлагаемой Let's Encrypt? > используют libssl будет ровно такое же поведение как и при > использовании > браузеров Firefox и Chromium. Пока не понял, зачем нужно одинаковое поведение, поэтому не впечатлился. ... >> Насколько я понимаю ситуацию в мире веб-сервисов (смотрю на примере >> nginx, postfix, jabberd2 и т.п.) с установленными SSL-сертификатами, >> там >> приходится применять следующий подход: указывается не только >> сертификат, полученный для сайта, но ещё и все промежуточные >> сертификаты, чтобы клиент, имеющий скудный набор корневых сертификатов >> (в браузере или в ca-bundle.crt) мог удостовериться в его подлинности. > А еще в браузерах используется CRL URL и OCSP для проверки и еще > некоторые > техники, гарантирующие что ваша база сертификатов не скомпрометирована. > Сертификат вам как таковой гарантирует только целостность данных а их > не > подлинность. Это очень хорошо, что они там используются. Но на браузерах жизнь не заканчивается, и ведь хочется увидеть такие же механизмы на уровне openssl CLI, и вдобавок не привязанные к сети. И всё же: администраторы веб-сервисов вынуждены выкладывать на сайты также и промежуточные сертификаты, чтобы пользователи (браузеры) могли проверить подлинность сертификата на сайт. Неужели это так замечательно? А где механизм подгрузки промежуточных сертификатов? >> Сертификаты УЦ РФ сейчас практически не используются на сайтах (в >> основном по причине проблем с браузерами), но планируются к активному >> использованию в подписывании документов, проверке подписей. >> Как правило, во всех случаях использования пользователю предлагается >> скачать и установить необходимую цепочку сертификатов, что при >> повседневном широкой работе с различными организациями мало приемлемо. > У вас есть коммерческие заказчики, которые сидят на Сизифе? Думаю, у > них При чём тут Сизиф? У меня вообще не заказчики, но я смотрю на p8 как на платформу, на которой ещё долго придётся работать. ... > поставит что-то от ООО где вместо firefox будет firefox-gost с > одобренным > ФСБ бэкдорами ) Я думаю, прогрессивному мировому сообществу не составит труда обнаружить бэкдор в свободном коде. >> К моему большому удивлению, (в openssl) нет механизма (или я его не >> заметил) использования нескольких файлов с сертификатами. Даже не >> существует стандартного пути, и программы (библиотеки), использующие >> ca-bundle.crt, должны сами указывать к нему путь. > Вам уже ответили письмом ниже, что все есть в libssl нужно только > внимательно читать документацию. Это вы разработчикам Go, Qt и прочим, которые не осилили? Я подозреваю, что ничего нет в документации. >> Вопросы: >> 1. Существуют ли механизмы, упрощающие совмещение нескольких наборов >> сертификатов >> (чтобы совместить наборы, идущие в ca-certificates и в >> ca-gost-certificates), или предложения, как красиво решить этот >> вопрос. > Убедите ФСБ отказаться от сертификации для ГСЦ и вам не нужно будет > решать эту проблему. Ещё раз: сейчас у нас сложилась схема, при которой добавить произвольный сертификат (для пользователя, для системы) невозможно. Сравните со структурой хранения и добавления сертификатов в Windows. >> 2. Существуют ли механизмы, подразумевающие локальное хранение и >> обновление промежуточных сертификатов? > ?? В мире конечное число удостоверяющих центров. Я хочу загрузить их все на компьютер не обращаться в сеть за проверкой сертификатов (да и обращаться некуда). И я спрашивал о том, можно ли сказать openssl, как ему обратиться в локальное хранилище промежуточных сертификатов. Видимо, суть в том, что никто не использует сертификаты, кроме как для сайтов. -- С уважением, Виталий Липатов, Etersoft ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 22:57 ` Vitaly Lipatov @ 2017-08-01 23:48 ` Alexey Gladkov 2017-08-02 14:34 ` Vitaly Lipatov 2017-08-02 8:32 ` Vladimir Didenko 1 sibling, 1 reply; 32+ messages in thread From: Alexey Gladkov @ 2017-08-01 23:48 UTC (permalink / raw) To: ALT Linux Team development discussions On Wed, Aug 02, 2017 at 01:57:04AM +0300, Vitaly Lipatov wrote: > Это вы разработчикам Go, Qt и прочим, которые не осилили? > Я подозреваю, что ничего нет в документации. Что-то я не очень понял в чём проблема в golang ? -- Rgrds, legion ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 23:48 ` Alexey Gladkov @ 2017-08-02 14:34 ` Vitaly Lipatov 2017-08-02 15:29 ` Alexey Gladkov 0 siblings, 1 reply; 32+ messages in thread From: Vitaly Lipatov @ 2017-08-02 14:34 UTC (permalink / raw) To: ALT Linux Team development discussions; +Cc: Alexey Gladkov Alexey Gladkov писал 2.8.17 2:48: > On Wed, Aug 02, 2017 at 01:57:04AM +0300, Vitaly Lipatov wrote: >> Это вы разработчикам Go, Qt и прочим, которые не осилили? >> Я подозреваю, что ничего нет в документации. > > Что-то я не очень понял в чём проблема в golang ? Я приводил багу об этом в первом письме: GO не находит корневой сертификат https://bugzilla.altlinux.org/show_bug.cgi?id=29449 Проблема в том, что разработчикам по явно архитектурной недоработке приходится в каждой программе / библиотеке самостоятельно отслеживать расположение файла с сертификатами,который к тому же скачет в зависимости от дистрибутива. -- С уважением, Виталий Липатов, Etersoft ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-02 14:34 ` Vitaly Lipatov @ 2017-08-02 15:29 ` Alexey Gladkov 2017-08-02 16:24 ` Vitaly Lipatov 0 siblings, 1 reply; 32+ messages in thread From: Alexey Gladkov @ 2017-08-02 15:29 UTC (permalink / raw) To: Vitaly Lipatov; +Cc: ALT Linux Team development discussions On Wed, Aug 02, 2017 at 05:34:57PM +0300, Vitaly Lipatov wrote: > Alexey Gladkov писал 2.8.17 2:48: > > On Wed, Aug 02, 2017 at 01:57:04AM +0300, Vitaly Lipatov wrote: > >> Это вы разработчикам Go, Qt и прочим, которые не осилили? > >> Я подозреваю, что ничего нет в документации. > > > > Что-то я не очень понял в чём проблема в golang ? > > Я приводил багу об этом в первом письме: > GO не находит корневой сертификат > https://bugzilla.altlinux.org/show_bug.cgi?id=29449 Эта бага закрыта 4 года назад. Список приведённый в этой баге показывает, что нет стандартного места, где должны быть расположены сертификаты. Это не проблема языка. > Проблема в том, что разработчикам по явно архитектурной недоработке > приходится в каждой программе / библиотеке самостоятельно отслеживать > расположение файла с сертификатами,который к тому же скачет в > зависимости от дистрибутива. Я всё ещё не понимаю о какой недоработке ты говоришь. Что мы держим ca-bundle.crt не там, где большинство дистрибутивов ? -- Rgrds, legion ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-02 15:29 ` Alexey Gladkov @ 2017-08-02 16:24 ` Vitaly Lipatov 0 siblings, 0 replies; 32+ messages in thread From: Vitaly Lipatov @ 2017-08-02 16:24 UTC (permalink / raw) To: Alexey Gladkov; +Cc: ALT Linux Team development discussions Alexey Gladkov писал 2.8.17 18:29: > On Wed, Aug 02, 2017 at 05:34:57PM +0300, Vitaly Lipatov wrote: >> Alexey Gladkov писал 2.8.17 2:48: >> > On Wed, Aug 02, 2017 at 01:57:04AM +0300, Vitaly Lipatov wrote: >> >> Это вы разработчикам Go, Qt и прочим, которые не осилили? >> >> Я подозреваю, что ничего нет в документации. >> > >> > Что-то я не очень понял в чём проблема в golang ? >> >> Я приводил багу об этом в первом письме: >> GO не находит корневой сертификат >> https://bugzilla.altlinux.org/show_bug.cgi?id=29449 > > Эта бага закрыта 4 года назад. Список приведённый в этой баге > показывает, > что нет стандартного места, где должны быть расположены сертификаты. > Это > не проблема языка. Это не проблема языка. Возможно, проблема отсутствия стандартизации или механизма, позволяющего получить доступ к набору сертификатов. Допустим, проблема отсутствия crypto api на платформе. > >> Проблема в том, что разработчикам по явно архитектурной недоработке >> приходится в каждой программе / библиотеке самостоятельно отслеживать >> расположение файла с сертификатами,который к тому же скачет в >> зависимости от дистрибутива. > > Я всё ещё не понимаю о какой недоработке ты говоришь. > > Что мы держим ca-bundle.crt не там, где большинство дистрибутивов ? Нет, нет, только о том, что для Linux-платформ что-то не додумали на тему доступного для различных потребителей хранилища сертификатов. Вот Владимир спрашивал > А X509_get_default_cert_*() не решают эту проблему? Это то самое, о чём я спрашиваю? Надо будет проверить. Вот как вопрос с получением пути решён в библиотеке python requests # cat /usr/lib/python2.7/site-packages/requests/certs.py #!/usr/bin/env python # -*- coding: utf-8 -*- """ requests.certs ~~~~~~~~~~~~~~ This module returns the preferred default CA certificate bundle. If you are packaging Requests, e.g., for a Linux distribution or a managed environment, you can change the definition of where() to return a separately packaged CA bundle. We return "/etc/pki/tls/certs/ca-bundle.crt" provided by the ca-certificates package. """ try: from certifi import where except ImportError: def where(): """ Don't use the certs bundled with requests, use ca-certificates. """ return "/etc/pki/tls/certs/ca-bundle.crt" И они уже три года обсуждают, что же тут можно сделать https://github.com/requests/requests/pull/1907 Как я вижу решение. X509_get_default_cert_dir() внезапно начинает возвращать каталог, где могут лежать (корневые) сертификаты, используемые openssl и её пользователями. Возвращаемый ею путь правильно используется в программах, и все штучки типа прибивания гвоздями путей забываем, как страшный сон. Понятно, что такая функция не может находиться (только) в openssl, потому что не все её используют (к счастью или нет). -- С уважением, Виталий Липатов, Etersoft ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 22:57 ` Vitaly Lipatov 2017-08-01 23:48 ` Alexey Gladkov @ 2017-08-02 8:32 ` Vladimir Didenko 2017-08-02 9:13 ` Konstantin Lepikhov 2017-08-02 14:41 ` Vitaly Lipatov 1 sibling, 2 replies; 32+ messages in thread From: Vladimir Didenko @ 2017-08-02 8:32 UTC (permalink / raw) To: ALT Linux Team development discussions 2 августа 2017 г., 1:57 пользователь Vitaly Lipatov написал: > И всё же: администраторы веб-сервисов вынуждены выкладывать на сайты также и > промежуточные сертификаты, > чтобы пользователи (браузеры) могли проверить подлинность сертификата на > сайт. > Неужели это так замечательно? А где механизм подгрузки промежуточных > сертификатов? Во-первых, в чем проблема? При выпуске сертификатов сразу дают нужный бандл с промежуточными CA, нужно только серверу скормить. Где неудобство? Во-вторых, как вы себе это представляете? Если сервер не будет отдавать сертификаты промежуточных CA, то есть два варианта 1. Запихивать все промежуточные сертификаты на клиент. Но тут сразу возникают проблемы * Их много и они будут жрать место на диске, даже если пользователь ими не разу не воспользуется * Самое главное, этот список весьма динамичный, а программное обеспечение на машинах может не обновляться годами. В результате, если не обновляться, то очень быстро пользователь не сможет заходить на свои любимые сайты. 2. В конечные сертификаты помещать ссылку, по которой можно скачать промежуточные сертификаты, и загружать их во время установки соединения. Вообще говоря, в большинстве случаев, эта ссылка в существующих сертификатах уже есть, и ЕМНИП Internet Explorer умеет по ним ходить и подгружать недостающие звенья, если сервер, вдруг, вернул не полную цепочку. Но тут есть одна большая проблема - добавляется одна лишняя точка отказа, то место откуда скачивается сертификат. Сейчас это сервера CA, и если все ринутся массово оттуда скачивать сертификаты, то * это будет медленно и увеличит время на установление соединения * это приведет к удоражанию сертификатов, поскольку CA придется изыскивать дополнительные деньги на сервера, которые будут отдавать промежуточные сертификаты На самом деле, эта же самая проблема уже стоит с отзывом сертификатов, когда информация о том отозван сертификат или нет получается от серверов CA. В результате сложилась ситуация, когда проверка на то, отозван сертификат или нет является в современных браузерах не обязательной: получится получить информацию - хорошо, нет - ну и фиг с ним. Это происходит по тому, что * У некоторых CA CRL/OCSP сервера не работают вовсе * У тех у кого работает, они работают не стабильно и не справляются с нагрузкой Так что современная тенденция, это перенести обязанность на возвращение информации об отзыве сертификата на сам сервер - см. OCSP stapling. -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-02 8:32 ` Vladimir Didenko @ 2017-08-02 9:13 ` Konstantin Lepikhov 2017-08-02 9:24 ` Vladimir Didenko 2017-08-02 14:41 ` Vitaly Lipatov 1 sibling, 1 reply; 32+ messages in thread From: Konstantin Lepikhov @ 2017-08-02 9:13 UTC (permalink / raw) To: devel Hi Vladimir! On 08/02/17, at 11:32:01 AM you wrote: <skip> > * У некоторых CA CRL/OCSP сервера не работают вовсе > * У тех у кого работает, они работают не стабильно и не справляются с нагрузкой Вы так пишете, будто это прям везде и повмеместно. На самом деле это происходит с вашим CA, то лучше сменить этот CA на что-то другое, поскольку недоступность веб-ресурсов это проблема организации инфраструктуры раздачи контента а не PKI. > Так что современная тенденция, это перенести обязанность на > возвращение информации об отзыве сертификата на сам сервер - см. OCSP > stapling. Это один из вариантов использования OCSP stapling, на самом деле он создан совсем для другого - чтобы защититься от MITM атак. -- WBR et al. ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-02 9:13 ` Konstantin Lepikhov @ 2017-08-02 9:24 ` Vladimir Didenko 2017-08-02 10:21 ` Konstantin Lepikhov 0 siblings, 1 reply; 32+ messages in thread From: Vladimir Didenko @ 2017-08-02 9:24 UTC (permalink / raw) To: ALT Linux Team development discussions 2 августа 2017 г., 12:13 пользователь Konstantin Lepikhov написал: > Вы так пишете, будто это прям везде и повмеместно. Насколько я знаю, везде и повсеместно. Были добровольцы (читал в багзилле Mozilla), которые принудительно включали обязательную проверку revocation статуса - жить с этим не возможно. >> Так что современная тенденция, это перенести обязанность на >> возвращение информации об отзыве сертификата на сам сервер - см. OCSP >> stapling. > Это один из вариантов использования OCSP stapling, на самом деле он создан > совсем для другого - чтобы защититься от MITM атак. > Я не понял суть замечания. OCSP stapling был создан для того, чтобы информацию об отзыве сертификата возвращал непосредственно сам TLS сервер, а не сервер CA. Это то, что я написал. Это ортогонально тому, что информация об отзыве нужна для предотвращения MITM. -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-02 9:24 ` Vladimir Didenko @ 2017-08-02 10:21 ` Konstantin Lepikhov 0 siblings, 0 replies; 32+ messages in thread From: Konstantin Lepikhov @ 2017-08-02 10:21 UTC (permalink / raw) To: devel Hi Vladimir! On 08/02/17, at 12:24:18 PM you wrote: > 2 августа 2017 г., 12:13 пользователь Konstantin Lepikhov написал: > > > Вы так пишете, будто это прям везде и повмеместно. > > Насколько я знаю, везде и повсеместно. Были добровольцы (читал в > багзилле Mozilla), которые принудительно включали обязательную > проверку revocation статуса - жить с этим не возможно. У меня она включена везде, проблемы замечал только если пользуешься каким-нибудь кривым прокси, который режет запросы или пытается засунуть свой сертификат в сессию. > > Это один из вариантов использования OCSP stapling, на самом деле он создан > > совсем для другого - чтобы защититься от MITM атак. > > > > Я не понял суть замечания. OCSP stapling был создан для того, чтобы > информацию об отзыве сертификата возвращал непосредственно сам TLS > сервер, а не сервер CA. Это то, что я написал. Это ортогонально тому, > что информация об отзыве нужна для предотвращения MITM. Окей, это один из вариантов использования: > While it may appear that allowing the site operator to control > verification responses would allow a fraudulent site to issue false > verification for a revoked certificate, the stapled responses can't be > forged as they need to be directly signed by the certificate authority, > not the server. https://en.wikipedia.org/wiki/OCSP_stapling#cite_note-Gibson-OCSP-Must-Staple-3 -- WBR et al. ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-02 8:32 ` Vladimir Didenko 2017-08-02 9:13 ` Konstantin Lepikhov @ 2017-08-02 14:41 ` Vitaly Lipatov 1 sibling, 0 replies; 32+ messages in thread From: Vitaly Lipatov @ 2017-08-02 14:41 UTC (permalink / raw) To: ALT Linux Team development discussions; +Cc: Vladimir Didenko Vladimir Didenko писал 2.8.17 11:32: > 2 августа 2017 г., 1:57 пользователь Vitaly Lipatov написал: >> И всё же: администраторы веб-сервисов вынуждены выкладывать на сайты >> также и >> промежуточные сертификаты, >> чтобы пользователи (браузеры) могли проверить подлинность сертификата >> на >> сайт. >> Неужели это так замечательно? А где механизм подгрузки промежуточных >> сертификатов? > > Во-первых, в чем проблема? При выпуске сертификатов сразу дают нужный > бандл с промежуточными CA, нужно только серверу скормить. Где > неудобство? Проблемы нет, если владелец сервиса способен собрать всю цепочку сертификатов, и даже принуждён это сделать. Возможно, что деятели с ГОСТ-сертификатами просто не умеют или не считают нужным это делать. > Во-вторых, как вы себе это представляете? Если сервер не будет > отдавать сертификаты промежуточных CA, то есть два варианта > > 1. Запихивать все промежуточные сертификаты на клиент. Но тут сразу > возникают проблемы > * Их много и они будут жрать место на диске, даже если пользователь > ими не разу не воспользуется Надуманная проблема? Знаете сколько гигабайт библиотек у меня в системе, которыми я ни разу не воспользуюсь. Тут не до подсчётов нескольких десятков мегабайт. > * Самое главное, этот список весьма динамичный, а программное > обеспечение на машинах может не обновляться годами. В результате, если > не обновляться, то очень быстро пользователь не сможет заходить на > свои любимые сайты. Вы правда считаете, что может быть такая Линукс-система, которая не будет обновляться годами, но у неё будет пользователь, заходящий на сайты? Мне кажется, она долго не проживёт. В наше время надо либо обновляться, либо не заходить на сайты. Как вариант, можно обновлять только список сертификатов, это вопрос регламента. > > 2. В конечные сертификаты помещать ссылку, по которой можно скачать > промежуточные сертификаты, и загружать их во время установки > соединения. Вообще говоря, в большинстве случаев, эта ссылка в > существующих сертификатах уже есть, и ЕМНИП Internet Explorer умеет по > ним ходить и подгружать недостающие звенья, если сервер, вдруг, вернул Вот мне радость от того, что IE умеет что-то :) Спасибо за комментарий! -- С уважением, Виталий Липатов, Etersoft ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-07-31 21:31 [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ Vitaly Lipatov ` (3 preceding siblings ...) 2017-08-01 15:47 ` Konstantin Lepikhov @ 2017-08-01 17:51 ` Paul Wolneykien 2017-08-04 11:40 ` Paul Wolneykien 4 siblings, 1 reply; 32+ messages in thread From: Paul Wolneykien @ 2017-08-01 17:51 UTC (permalink / raw) To: devel 01.08.2017 00:31, Vitaly Lipatov пишет: > И отдельно риторический вопрос: почему поддержка GOST не включена у нас > в openssl из коробки? И хотя бы нет готовой ручки в control. Я только что её написал: http://git.altlinux.org/people/manowar/packages/openssl10.git?p=openssl10.git;a=commitdiff;h=e82035a81d673cea76e3e1f59d8bdc4524b21b36 ^ permalink raw reply [flat|nested] 32+ messages in thread
* Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ 2017-08-01 17:51 ` Paul Wolneykien @ 2017-08-04 11:40 ` Paul Wolneykien 0 siblings, 0 replies; 32+ messages in thread From: Paul Wolneykien @ 2017-08-04 11:40 UTC (permalink / raw) To: devel 01.08.2017 20:51, Paul Wolneykien пишет: > 01.08.2017 00:31, Vitaly Lipatov пишет: >> И отдельно риторический вопрос: почему поддержка GOST не включена у нас >> в openssl из коробки? И хотя бы нет готовой ручки в control. > > Я только что её написал: > > > http://git.altlinux.org/people/manowar/packages/openssl10.git?p=openssl10.git;a=commitdiff;h=e82035a81d673cea76e3e1f59d8bdc4524b21b36 Ручка в control называется openssl-gost. Имеет два состояния "enabled" и "disabled". При включении, в openssl.cnf вносятся изменения, описанные на странице https://www.altlinux.org/ГОСТ_в_OpenSSL . Контрол упакован в один пакет с /usr/lib/openssl/engines/libgost.so, чтобы пользователь, установивший эту библиотеку, всегда мог включить её поддержку одной командой. Прошу понять и пропустить в Сизиф (#186615:500). ^ permalink raw reply [flat|nested] 32+ messages in thread
end of thread, other threads:[~2017-08-04 11:40 UTC | newest] Thread overview: 32+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2017-07-31 21:31 [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ Vitaly Lipatov 2017-08-01 6:06 ` Vladimir Didenko 2017-08-01 8:54 ` Paul Wolneykien 2017-08-01 14:22 ` Dmitry V. Levin 2017-08-01 15:47 ` Konstantin Lepikhov 2017-08-01 16:26 ` Dmitry Derjavin 2017-08-01 18:24 ` Konstantin Lepikhov 2017-08-01 19:47 ` Dmitry Derjavin 2017-08-01 21:17 ` Konstantin Lepikhov 2017-08-01 21:31 ` Alexey Gladkov 2017-08-01 21:47 ` Konstantin Lepikhov 2017-08-02 9:55 ` Michael Shigorin 2017-08-02 10:39 ` Paul Wolneykien 2017-08-02 10:48 ` Dmitry V. Levin 2017-08-02 11:03 ` Alexey Gladkov 2017-08-02 13:24 ` Paul Wolneykien 2017-08-02 13:30 ` Paul Wolneykien 2017-08-02 14:05 ` Konstantin Lepikhov 2017-08-04 11:36 ` Yury A. Romanov 2017-08-01 22:37 ` Vitaly Lipatov 2017-08-01 22:57 ` Vitaly Lipatov 2017-08-01 23:48 ` Alexey Gladkov 2017-08-02 14:34 ` Vitaly Lipatov 2017-08-02 15:29 ` Alexey Gladkov 2017-08-02 16:24 ` Vitaly Lipatov 2017-08-02 8:32 ` Vladimir Didenko 2017-08-02 9:13 ` Konstantin Lepikhov 2017-08-02 9:24 ` Vladimir Didenko 2017-08-02 10:21 ` Konstantin Lepikhov 2017-08-02 14:41 ` Vitaly Lipatov 2017-08-01 17:51 ` Paul Wolneykien 2017-08-04 11:40 ` Paul Wolneykien
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git