[devel] I: TLS/SSL policy: broken packages
Mikhail Yakshin
=?iso-8859-1?q?greycat_=CE=C1_altlinux=2Eorg?=
Пт Фев 9 11:26:01 MSK 2007
Dmitry V. Levin пишет:
> On Fri, Feb 09, 2007 at 01:22:07AM +0300, Mikhail Yakshin wrote:
>> nut-server - несет в себе файл /etc/nut/upsd.pem, который пуст. Хотелось
>> бы услышать комментарии мейнтейнера, зачем он такой?
>
> /etc/nut/upsd.pem -- это не пустой файл, а ссылка на пустой файл
> /var/lib/nut/etc/nut/upsd.pem, который является местом для приватного
> ключа и сертификата, которые может создать администратор сервера upsd для
> того чтобы клиенты могли его аутентифицировать; аналог файлов
> /etc/httpd/conf/ssl/server.* из пакета mod_ssl с тем отличием,
> что ключ и сертификат с пакетом не поставляется.
Вообще, есть желание как-то зафиксировать и тут ситуацию. У нас есть
куча пакетов, таскающих с собой бесполезные (потому как не совпадает
hostname), обычно еще и просроченные, примеры сертификатов. Один пакет
вот вообще таскает пустой файл под видом файла с сертификатом.
Может быть сделать на всех один макрос, который бы генерил свежие
самоподписанные сертификаты и проследить, чтобы все его использовали?
>> Финальное замечание: рассмотрены были пока только пакеты, которые явно
>> несли в себе некие признаки использования openssl, не соответствующего
>> policy. Кроме того, нужно просто вручную рассмотреть все пакеты, которые
>> зависят от libssl с куда более пристрастной проверкой: внутри каждого из
>> них может быть инициализация openssl с использованием наших общих CA или
>> без. Во втором случае это предполагается исправлять.
>>
>> Дополнительный список:
>
> В этот список попали пакеты, которые из libssl используют только
> libcrypto. Такие пакеты рассматривать нет смысла.
Согласен. Хотел еще заметить, что в этом списке уже те пакеты, которым
хуже точно не будет, т.е. если кто-то из них и раньше не поддерживал CA
из общего CA bundle (того же openssl'ного), то он не работал ни раньше,
ни теперь, если мы только этот факт не выявим и не исправим.
>> elinks
>> lftp
>> wget
>
> Эти по умолчанию используют для проверки тот CA bundle, на который настроен
> openssl.
Сейчас сделаю страничку на wiki, будем там вычеркивать. Вешать на такие
пакеты баги нельзя, хотя бы не проверив. Проверять-то просто - взять и с
помощью такого пакета приконнектиться к https://heap.altlinux.org или
чему-то подобному.
--
WBR, GreyCat
Подробная информация о списке рассылки Devel