[devel] I: TLS/SSL policy - broken packages

[Mikhail Yakshin]

Vladimir V. Kamarzin пишет:
>>>>>> On 09 Feb 2007 at 03:22 "MY" == Mikhail Yakshin writes:
> 
>  MY> unreal - несет в себе некий серверный самоподписанный сертификат с
>  MY> такими параметрами:
> 
>  MY> Issuer: C=RU, ST=Moskovskaya Oblast, L=Korolev, O=Fly Net, OU=Server
>  MY> development team, CN=irc.fly
>  MY> Subject: C=RU, ST=Moskovskaya Oblast, L=Korolev, O=Fly Net, OU=Server
>  MY> development team, CN=irc.fly
>  MY> Validity
>  MY>     Not Before: Apr 19 17:46:40 2005 GMT
>  MY>     Not After : Apr 19 17:46:40 2006 GMT
> 
>  MY> Самое главное - он уже давно просрочен. Прошу комментариев у
>  MY> мейнтейнера, что это за сертификат и не имеет ли смысл заменить его либо
>  MY> на автоматически генерящийся, либо на подписанный нашим CA, например?
> 
> Это сертификат, используемый для линковки серверов и для secure-соединений
> клиентов.

Он точно не специфичен для какой-нибудь сети там, нет? Я плохо 
представляю, может быть у IRC-серверов какая-то своя CA есть и, 
соответственно, там должны поставлять какие-то особые сертификаты? Если 
нет - тогда можно просто сгенерировать свежий.

 > Предполагалось, что администратор сервера должен вместо него
> положить свой сертификат. А дефолтный действительно лучше заменить на
> какой-нибудь более подходящий, только не знаю как лучше сделать.

Ok, сейчас решим, не будет ли у нас единого способа генерации таких 
тестовых сертификатов, и если будет - то все, возможно, заменится на 
один макрос.

>  MY> freeradius - практически тот же вопрос, что и про MySQL. Пакет несет у
>  MY> себя внутри примеры сертификатов и CA, но после прочтения
>  MY> /etc/raddb/certs/README возникает вопрос - что будет, если положить ему
>  MY> просто один сертификат, подписанный тем CA, что указан у нас в bundle?
>  MY> Подхватится ли?
> 
> Да, скорее всего подхватится.

=) На этот вопрос надо однозначно, т.е. либо посмотреть в код, либо 
проверить.

-- 
WBR, GreyCat