ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed
* [sisyphus] Q: SSL in ALT Linux
@ 2007-01-21  2:29 Mikhail Yakshin
  2007-01-21 12:14 ` Dmitry V. Levin
  2007-02-08  0:01 ` Dmitry V. Levin
  0 siblings, 2 replies; 12+ messages in thread
From: Mikhail Yakshin @ 2007-01-21  2:29 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussion list

Приветствую!

А не может ли кто-нибудь прояснить ситуацию, которая складывается в ALT
Linux с SSL, в частности - есть ли какой-то общий единый CA root ALT
Linux, сертификат которого бы включался в дистрибутив и обязывался бы к
использованию и принятию всеми программами (в основном - клиентами).

Насколько я понимаю - сейчас этого нет - есть смотреть на файл
/var/lib/ssl/cert.pem из openssl. Если смотреть на список built-in CA
tokens в Mozilla - то есть некий токен "ALT Linux CA Root". В KDE -
ничего такого нет.

Кроме того, ситуация такова:

========================================================================

https://backports.altlinux.org
https://faq.altlinux.ru
https://bugzilla.altlinux.org - самоподписанный сертификат на "bugzilla"
организации "ALT Linux" (серийный номер 0).

https://www.altlinux.ru или .org - самоподписанный сертификат на
"support" организации "ALT Linux ru" (серийный номер 0)

https://lrn.ru
https://docs.altlinux.ru - тот же сертификат www.altlinux.ru, плюс еще
под https показывается не содержимое ожидаемого сайта, а именно сайт
http://www.altlinux.ru

xmpp://altlinux.org:5223 - сертификат с серийным номером 2, выписанный
на "Jabber service" организации "ALT Linux Team", подписан CN="ALT Linux
CA Root"

https://lists.altlinux.ru - просроченный (уже давно - с 24.05.2006)
сертификат с серийным номером 10, выписанный на CN="lists.altlinux.ru",
OU="ALT Linux Support Department", подписан все той же CN="ALT Linux CA
Root"

https://heap.altlinux.ru - очень странный сертификат, видимо,
сгенеренный по какому-то образцу с настройками по умолчанию для "E =
webmaster@localhost; CN = localhost; OU = Webserver Team; O = Localhost,
Inc; L = Local Town; ST = Local Country; C = LO", подписан не менее
эфемерным "E = ca@snakeoil.dom; CN = Snake Oil CA; OU = Certificate
Authority; O = Snake Oil, Ltd; L = Snake Town; ST = Snake Desert; C =
XY". Причем еще в связке нет второго сертификата для этого эфемерного
CA, а основной сертификат носит серийный номер 3, значит, где-то есть
еще несколько таких сертификатов.

https://*.mozilla.ru и mozilla-russia.org - сертификат, выписанный на
"*.unsafe.ru", подписанный CN="UNSAFE.RU Root CA". Серийный номер аж
00:C0:42:93:C6:BF:19:B5:2A. В общем, здесь как раз все понятно.

========================================================================

Т.е., видимо, "ALT Linux CA Root" когда-то давно действительно
использовалась - можно поинтересоваться, что с ней стало, какова
официальная позиция мейнтейнеров основных пакетов, использующих SSL по
этому вопросу (openssl, mozilla, kde)?

Ну и, соответственно, вопрос в продолжение первого - если таковая
authority все-таки будет воскрешена - какова политика получения
удостоверенных ею сертификатов?

-- 
WBR, Mikhail Yakshin AKA GreyCat
ALT Linux [http://www.altlinux.ru] [xmpp:greycat@altlinux.org]


^ permalink raw reply	[flat|nested] 12+ messages in thread

end of thread, other threads:[~2007-02-09 14:05 UTC | newest]

Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-01-21  2:29 [sisyphus] Q: SSL in ALT Linux Mikhail Yakshin
2007-01-21 12:14 ` Dmitry V. Levin
2007-01-21 23:18   ` Mikhail Yakshin
2007-01-30 10:46     ` Michael Shigorin
2007-02-08  0:01 ` Dmitry V. Levin
2007-02-08 13:07   ` Mikhail Gusarov
2007-02-09  8:45     ` Mikhail Yakshin
2007-02-09  9:15       ` Mikhail Gusarov
2007-02-09  9:38         ` Mikhail Yakshin
2007-02-09 10:17           ` Mikhail Gusarov
2007-02-09 13:46     ` Dmitry V. Levin
2007-02-09 14:05       ` Mikhail Gusarov

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git