From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <45B3F4BC.5060801@altlinux.org> Date: Mon, 22 Jan 2007 02:18:20 +0300 From: Mikhail Yakshin User-Agent: Thunderbird 1.5.0.8 (X11/20061205) MIME-Version: 1.0 To: ALT Linux Sisyphus discussion list References: <45B2CFF0.8050200@altlinux.org> <20070121121431.GC15171@basalt.office.altlinux.org> In-Reply-To: <20070121121431.GC15171@basalt.office.altlinux.org> X-Enigmail-Version: 0.94.1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: Re: [sisyphus] Q: SSL in ALT Linux X-BeenThere: sisyphus@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Linux Sisyphus discussion list List-Id: ALT Linux Sisyphus discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 21 Jan 2007 23:18:35 -0000 Archived-At: List-Archive: List-Post: Dmitry V. Levin wrote: > On Sun, Jan 21, 2007 at 05:29:04AM +0300, Mikhail Yakshin wrote: >> А не может ли кто-нибудь прояснить ситуацию, которая складывается в ALT >> Linux с SSL, в частности - есть ли какой-то общий единый CA root ALT >> Linux, сертификат которого бы включался в дистрибутив и обязывался бы к >> использованию и принятию всеми программами (в основном - клиентами). [...] > Я вижу разумным сделать новый root CA, положить его в пакеты и дальше > использовать. > >> Ну и, соответственно, вопрос в продолжение первого - если таковая >> authority все-таки будет воскрешена - какова политика получения >> удостоверенных ею сертификатов? > > Политику предстоит утвердить. Какие будут предложения? Предлагаю сделать нечто вроде SSL policy и закрепить в ней примерно следующие основные пункты: ========================================================================== 1. Существует ALT root CA, принадлежащий ООО (как и все остальные основные подписи и ключи по репозитариями и по проекту в целом). 1.1. Сертификат имеет CN=<такой-то>, OU=<такой-то>, O=<такой-то>, C=<такой-то> (и т.п.) 1.2. Срок действия CA устанавливается в лет. 1.3. Его поддержанием, регенерацией, выписыванием сертификатов занимается <видимо, кто-то из суппорта?> 1.4. Регенерация делается за <полгода> до окончания срока действия очередного основного CA: генерируется новый сертификат и в эти полгода все носят 2 сертификата. Старый сертификат выкидывается отовсюду по возможности, как его срок действия совсем заканчивается. 1.5. Сертификат всегда доступен для скачивания с , а также в пакете openssl (из тех соображений, что он у нас наиболее системообразующий). 2. Все https-серверы и XMMP-серверы ALT (как минимум, перечисленные в gory details в первом письме) используют сертификаты, выписанные этим ALT root CA. 2.1. Сертификаты должны иметь корректно установленные, в том числе, например, правильный CN. 2.2. Т.к. есть, как минимум, 3 домена (altlinux.org, altlinux.ru, altlinux.com), видимо, на каждый сервис нужно выписывать 3 сертификата. 2.3. Там, где https объективно не нужен - его вообще быть не должно, 443 порт закрыт. 3. Все члены команды ALT имеют право попросить заверенные этим CA сертификаты в любом количестве для своих личных нужд. Пункт 4 гарантирует, что такой сертификат, заверенный ALT, будет, как минимум, восприниматься всеми системами, работающими под управлением ALT Linux. 3.1. Сертификаты, подписанные этим CA, для третьих лиц и организаций, не являющихся членами команды ALT, распространяются ООО по своему усмотрению. 4. Все пакеты в Сизифе, которые могут использоваться в качестве клиентов для доступа к серверам к TLS/SSL и которые не используют обычные системные хранилища сертификатов, должны носить в своем списке CA дополнительно еще и ALT root CA, и, таким образом. 4.1. Проверить работоспособность клиента в плане принятия сертификатов ALT можно на https://bugs.altlinux.org/ и на xmpp://altlinux.org 4.2. Несоответствие пакета пункту 4 настоящей policy - bug. 5. Все пакеты в Сизифе, которые могут использоваться как серверы с TLS/SSL должны иметь упоминание (например, в README.alt) о наличии ALT root CA, о пункте 3 и давать ссылку на настоящую policy. 5.1. Примерный текст упоминания (приветствуется изменение его для лучшего отражения специфики пакета - http, xmpp, imap-сервер и т.п.): Данный пакет позволяет организовать сервер, соединения с которым будут защищены с помощью TLS/SSL. Для этого нужен сертификат сервера. Сертификат может быть самоподписанным, в таком случае он будет восприниматься только ограниченным рядом систем, на каждую такую систему его придется переносить вручную. Для того, чтобы его принимало автоматически больше систем, нужен сертификат, подписанный какой-то известной большинству систем организацией - Certificate Authority. В ALT Linux есть собственная Certificate Authority. В соответствии с TLS policy, члены команды ALT могут получать неограниченное число подписанных ей сертификатов, которые, таким образом, будут корректно приниматься на всех системах ALT Linux. Подробности получения сертификатов можно узнать на https://tls.altlinux.org/ ALT Linux TLS policy доступна на http:// 5.2. Отсутствия такого текста - bug. ========================================================================== Оно же закинуто на http://www.freesource.info/wiki/Altlinux/Policy/TLS Прошу помочь вписать значения в <...> и высказаться насчет общего видения возможности принятия такой policy. -- WBR, Mikhail Yakshin AKA GreyCat ALT Linux [http://www.altlinux.ru] [xmpp:greycat@altlinux.org]