[devel] I: TLS/SSL policy - broken packages
Konstantin A. Lepikhov
=?iso-8859-1?q?lakostis_=CE=C1_altlinux=2Eorg?=
Пт Фев 9 02:27:13 MSK 2007
Hi Mikhail!
Friday 09, at 01:22:07 AM you wrote:
..
> firefox, thunderbird, xulrunner, seamonkey, libnspr - общая замечание ко
> всем, использующим NSS - имеет смысл, видимо, при сборке добавлять новый
> ALT CA таким builtin token, как сейчас добавляется старый (в файле типа
> firefox-0.9-alt-ssl-addon-certs.txt). В идеале - не просто добавлять
> один CA, а устроить обратное преобразование из PEM в формат файла
> сертификатов Gecko-образных.
кажется, у нас все-таки сделано наоборт ;)
> MySQL-server - несет в себе в документации пример сертификата CA,
> который используется как сервером, так и клиентом. Несмотря на то, что
> сертификат в документации и отключен по умолчанию, при реальном
> использовании его или аналогов требуется указание положения некоего CA
> bundle через ключ типа "ssl-ca=SSL/cacert.pem". Вопрос к мейнтейнеру -
> нет ли возможности / стоит ли патчить или что-то менять в MySQL, чтобы
> по умолчанию он имел в виду наш общий CA bundle?
только если вынести сервер из chroot'а - поскольку в chroot все равно
придется bundle вручную запихивать.
BTW, то же самое придется и делать с postfix.
> Финальное замечание: рассмотрены были пока только пакеты, которые явно
> несли в себе некие признаки использования openssl, не соответствующего
> policy. Кроме того, нужно просто вручную рассмотреть все пакеты, которые
> зависят от libssl с куда более пристрастной проверкой: внутри каждого из
> них может быть инициализация openssl с использованием наших общих CA или
> без. Во втором случае это предполагается исправлять.
>
> Дополнительный список:
>
...
> nginx
тут все очень простенько и неинтересно. Даже патчить не надо, т.к.
подобный функционал еще не предусмотрен.
--
WBR et al.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: Digital signature
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20070209/16df66d7/attachment-0001.bin>
Подробная информация о списке рассылки Devel