[devel] I: TLS/SSL policy - broken packages
Mikhail Yakshin
=?iso-8859-1?q?greycat_=CE=C1_altlinux=2Eorg?=
Пт Фев 9 11:18:51 MSK 2007
Alexey I. Froloff пишет:
> * Mikhail Yakshin <greycat@> [070209 01:25]:
>> mutt1.5 - несет в себе древний
>> /usr/share/doc/mutt1.5-1.5.13/samples/ca-bundle.crt из Netscape 4.72,
>> который рекомендуется копировать в ~/.smime/ca-bundle.crt, чтобы mutt
>> его нашел и использовал. Прошу пояснений мейнтейнера, можно ли заставить
>> mutt использовать стандартные механзимы поиска списка CA через openssl?
> Это одно из значений опции smime_ca_location, используется для
> проверки S/MIME подписи. Передаётся (если выставлена) значением
> опции -CAfile/-CApath при запуске openssl ("%C").
>
> 3.214. smime_ca_location
>
> Type: path
> Default: ""
>
> This variable contains the name of either a directory, or a file which
> contains trusted certificates for use with OpenSSL. (S/MIME only)
>
> 3.216. smime_decrypt_command (для всех smime_*_command одинаково)
> ...
> %C
> CA location: Depending on whether $smime_ca_location points to a
> directory or file, this expands to "-CApath $smime_ca_location"
> or "-CAfile $smime_ca_location".
То есть, насколько я понял, без патчей - нельзя. Встает вопрос, что делать:
1. (самое сложное) Пропатчить mutt, чтобы он использовал
OPENSSL_config(3) и подхватывал наш CA bundle.
2. (самое простое) Убрать из пакета ca-bundle.crt и положить README.ALT
с упоминанием, что default CA bundle доступен в системе там-то и личная
задача каждого пользователя, который хочет S/MIME - настраивать mutt на
использование этого CA bundle.
3. (сомнительное) По умолчанию настроить в mutt system-wide на наш CA
bundle. Не очень знаю mutt и не представляю, возможно ли это технически
и что от этого сломается.
--
WBR, GreyCat
Подробная информация о списке рассылки Devel