[devel] I: TLS/SSL policy - broken packages

Konstantin A. Lepikhov =?iso-8859-1?q?lakostis_=CE=C1_altlinux=2Eorg?=
Пт Фев 9 02:27:13 MSK 2007


Hi Mikhail!

Friday 09, at 01:22:07 AM you wrote:
..
> firefox, thunderbird, xulrunner, seamonkey, libnspr - общая замечание ко
> всем, использующим NSS - имеет смысл, видимо, при сборке добавлять новый
> ALT CA таким builtin token, как сейчас добавляется старый (в файле типа
> firefox-0.9-alt-ssl-addon-certs.txt). В идеале - не просто добавлять
> один CA, а устроить обратное преобразование из PEM в формат файла
> сертификатов Gecko-образных.
кажется, у нас все-таки сделано наоборт ;)

> MySQL-server - несет в себе в документации пример сертификата CA,
> который используется как сервером, так и клиентом. Несмотря на то, что
> сертификат в документации и отключен по умолчанию, при реальном
> использовании его или аналогов требуется указание положения некоего CA
> bundle через ключ типа "ssl-ca=SSL/cacert.pem". Вопрос к мейнтейнеру -
> нет ли возможности / стоит ли патчить или что-то менять в MySQL, чтобы
> по умолчанию он имел в виду наш общий CA bundle?
только если вынести сервер из chroot'а - поскольку в chroot все равно
придется bundle вручную запихивать.

BTW, то же самое придется и делать с postfix.
 
> Финальное замечание: рассмотрены были пока только пакеты, которые явно
> несли в себе некие признаки использования openssl, не соответствующего
> policy. Кроме того, нужно просто вручную рассмотреть все пакеты, которые
> зависят от libssl с куда более пристрастной проверкой: внутри каждого из
> них может быть инициализация openssl с использованием наших общих CA или
> без. Во втором случае это предполагается исправлять.
> 
> Дополнительный список:
> 
...
> nginx
тут все очень простенько и неинтересно. Даже патчить не надо, т.к.
подобный функционал еще не предусмотрен.

-- 
WBR et al.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20070209/16df66d7/attachment-0001.bin>


Подробная информация о списке рассылки Devel