[devel] RFC: ca-certificates a la Fedora

[Mikhail Efremov]

On Fri, 22 Dec 2017 02:21:33 +0300 Mikhail Efremov wrote:
> On Thu, 21 Dec 2017 18:48:16 +0300 Mikhail Efremov wrote:
> > Hello!
> > 
> > Я сейчас готовлю ca-certificates (сегодня сделаю тестовое задание)
> > с  
> 
> #197295

Таск обновлен:
update-ca-trust вынесен в отдельный пакет ca-trust, в ca-certificates
остался только бандл в формате p11-kit. Кроме того update-ca-trust
теперь просто запускает хуки /usr/libexec/ca-trust/update.d/*.hook,
которые и выполняют всю работу. Подпакет ca-trust-java заменяет
ca-certificates-java с его сертификатами 2011 года.
В p11-kit-trust запакована альтернатива для libnssckbi.so с весом 30,
соответственно в libnss должна быть альтернатива с весом меньше.
Подпакет p11-kit-checkinstall в %post выполняет проверку на
совместимость libnssckbi.so и p11-kit-trust.so, сравниваются списки
названий выводимых сертификатов. Но ошибка в %post не мешает установить
пакет, так что узнать о проблеме можно только из лога. Там надо что-то
писать если проверка успешна, кстати?
В пакете libnss-checkinstall нужно будет просто поставить зависимость
на p11-kit-checkinstall.
Я расшарил таск, там еще должны быть как минимум libnss с альтернативой
и ca-gost-certificates*.
Впрочем, текущий вариант еще может быть не окончательным, конечно.

2lav@: Я не хочу сам трогать пакеты с гостовыми сертификатами, я ничего
в них не понимаю.

-- 
WBR, Mikhail Efremov