[devel] [Q]Общесистемный каталог для SSL-сертификатов.

[Dmitry Lebkov]

Доброго времени суток,

Есть ли в нас в системе какой-нить общий каталог, куда следует
складывать SSL-сертификаты сервисов, запускаемых на отдельно
взятой машине?

Сейчас имеем ситуацию, когда сервис, поддерживающий SSL/TLS,
хранит сертификаты там где понравилось автору/пакаджеру пакета,
что есть не очень хорошо.

Может быть имеет смысл сделать что-то типа /usr/share/ssl-cert
и внутри создавать структуру каталогов (?) для каждого сервиса,
умеющего SSL/TLS (с соответствующм разграничением доступа)?

Из плюсов:
 - монтировать /usr в read-only значительно проще чем /etc или /var;
 - упрощается контроль целостности сертификатов в случае размещения
   их всех в одном, оговоренном, месте;

Из минусов:
 - патчить все существующие сервисы на предмет размещения сертификатов;
 - поддерживать внесенные измененияж


Какие будут предложения?

--
WBR, Dmitry Lebkov