[devel] RFC: ca-certificates a la Fedora

[Alexey Gladkov]

On Fri, Dec 22, 2017 at 07:33:46PM +0300, Mikhail Efremov wrote:
> > Если всё как сказал sem@ и действительно есть полная совместимость, то
> > проблем не будет. Если несовместимость всё-таки появится/может появиться,
> > то пользователи смогут переключиться на апстримную библиотеку (хотя бы
> > временно). Это лучше, чем класть все яйца в одну корзину.
> 
> Если сделать так:
> ln -s /usr/lib64/pkcs11/p11-kit-trust.so /etc/pki/nssdb/libnssckbi.so
> то certutil -L -d sql:/etc/pki/nssdb/ -h 'Builtin Object Token'
> начинает выдавать список сертификатов из p11-kit.

Отлично!

> > Сейчас с обновлением nss firefox, thunderbird и chromium получают новую
> > базу (это почти правде). Если ca-certificates обновляются из того же
> > источника,тогда почему он не собирается из libnss ?
> 
> В принципе можно собирать и из libnss, но мне кажется отдельным пакетом
> удобнее. Можно будет вносить изменения в скрипты не пересобирая ради
> этого libnss или собрать новую версию с новыми сертификатами не
> дожидаясь выхода новой libnss. И ничего не мешает обновлять
> ca-certificates синхронно с выходом новой версии libnss.

Я совершенно не настаиваю :)

> Впрочем, мне все рано в этом варианте не нравится, что у libnss может
> быть другой набор CA сертификатов. Идея как раз в том, чтобы иметь
> единый набор CA сертификатов для всех библиотек. И управлять уже им.
> Добавил сертификат - все приложения начинают ему доверять, не зависимо
> от того, используют ли они openssl, gnutls или nss. Ну и с blacklist,
> соответственно, так же.

Тогда давайте сделаем альтертанивы.

-- 
Rgrds, legion