[devel] I: TLS/SSL policy - broken packages

[Mikhail Yakshin]

Alexey I. Froloff пишет:
> * Mikhail Yakshin <greycat@> [070209 01:25]:
>> mutt1.5 - несет в себе древний
>> /usr/share/doc/mutt1.5-1.5.13/samples/ca-bundle.crt из Netscape 4.72,
>> который рекомендуется копировать в ~/.smime/ca-bundle.crt, чтобы mutt
>> его нашел и использовал. Прошу пояснений мейнтейнера, можно ли заставить
>> mutt использовать стандартные механзимы поиска списка CA через openssl?
> Это одно из значений опции smime_ca_location, используется для
> проверки S/MIME подписи.  Передаётся (если выставлена) значением
> опции -CAfile/-CApath при запуске openssl ("%C").
> 
> 3.214. smime_ca_location
> 
>    Type: path
>    Default: ""
> 
>    This variable contains the name of either a directory, or a file which
>    contains trusted certificates for use with OpenSSL. (S/MIME only)
> 
> 3.216. smime_decrypt_command (для всех smime_*_command одинаково)
> ...
>    %C
>           CA location: Depending on whether $smime_ca_location points to a
>           directory or file, this expands to "-CApath $smime_ca_location"
>           or "-CAfile $smime_ca_location".

То есть, насколько я понял, без патчей - нельзя. Встает вопрос, что делать:

1. (самое сложное) Пропатчить mutt, чтобы он использовал 
OPENSSL_config(3) и подхватывал наш CA bundle.

2. (самое простое) Убрать из пакета ca-bundle.crt и положить README.ALT 
с упоминанием, что default CA bundle доступен в системе там-то и личная 
задача каждого пользователя, который хочет S/MIME - настраивать mutt на 
использование этого CA bundle.

3. (сомнительное) По умолчанию настроить в mutt system-wide на наш CA 
bundle. Не очень знаю mutt и не представляю, возможно ли это технически 
и что от этого сломается.

-- 
WBR, GreyCat