From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <45B2CFF0.8050200@altlinux.org> Date: Sun, 21 Jan 2007 05:29:04 +0300 From: Mikhail Yakshin User-Agent: Thunderbird 1.5.0.8 (X11/20061205) MIME-Version: 1.0 To: ALT Linux Sisyphus discussion list X-Enigmail-Version: 0.94.1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: [sisyphus] Q: SSL in ALT Linux X-BeenThere: sisyphus@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Linux Sisyphus discussion list List-Id: ALT Linux Sisyphus discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 21 Jan 2007 02:29:11 -0000 Archived-At: List-Archive: List-Post: Приветствую! А не может ли кто-нибудь прояснить ситуацию, которая складывается в ALT Linux с SSL, в частности - есть ли какой-то общий единый CA root ALT Linux, сертификат которого бы включался в дистрибутив и обязывался бы к использованию и принятию всеми программами (в основном - клиентами). Насколько я понимаю - сейчас этого нет - есть смотреть на файл /var/lib/ssl/cert.pem из openssl. Если смотреть на список built-in CA tokens в Mozilla - то есть некий токен "ALT Linux CA Root". В KDE - ничего такого нет. Кроме того, ситуация такова: ======================================================================== https://backports.altlinux.org https://faq.altlinux.ru https://bugzilla.altlinux.org - самоподписанный сертификат на "bugzilla" организации "ALT Linux" (серийный номер 0). https://www.altlinux.ru или .org - самоподписанный сертификат на "support" организации "ALT Linux ru" (серийный номер 0) https://lrn.ru https://docs.altlinux.ru - тот же сертификат www.altlinux.ru, плюс еще под https показывается не содержимое ожидаемого сайта, а именно сайт http://www.altlinux.ru xmpp://altlinux.org:5223 - сертификат с серийным номером 2, выписанный на "Jabber service" организации "ALT Linux Team", подписан CN="ALT Linux CA Root" https://lists.altlinux.ru - просроченный (уже давно - с 24.05.2006) сертификат с серийным номером 10, выписанный на CN="lists.altlinux.ru", OU="ALT Linux Support Department", подписан все той же CN="ALT Linux CA Root" https://heap.altlinux.ru - очень странный сертификат, видимо, сгенеренный по какому-то образцу с настройками по умолчанию для "E = webmaster@localhost; CN = localhost; OU = Webserver Team; O = Localhost, Inc; L = Local Town; ST = Local Country; C = LO", подписан не менее эфемерным "E = ca@snakeoil.dom; CN = Snake Oil CA; OU = Certificate Authority; O = Snake Oil, Ltd; L = Snake Town; ST = Snake Desert; C = XY". Причем еще в связке нет второго сертификата для этого эфемерного CA, а основной сертификат носит серийный номер 3, значит, где-то есть еще несколько таких сертификатов. https://*.mozilla.ru и mozilla-russia.org - сертификат, выписанный на "*.unsafe.ru", подписанный CN="UNSAFE.RU Root CA". Серийный номер аж 00:C0:42:93:C6:BF:19:B5:2A. В общем, здесь как раз все понятно. ======================================================================== Т.е., видимо, "ALT Linux CA Root" когда-то давно действительно использовалась - можно поинтересоваться, что с ней стало, какова официальная позиция мейнтейнеров основных пакетов, использующих SSL по этому вопросу (openssl, mozilla, kde)? Ну и, соответственно, вопрос в продолжение первого - если таковая authority все-таки будет воскрешена - какова политика получения удостоверенных ею сертификатов? -- WBR, Mikhail Yakshin AKA GreyCat ALT Linux [http://www.altlinux.ru] [xmpp:greycat@altlinux.org]