[devel] [sisyphus] Q: SSL in ALT Linux
Dmitry V. Levin
=?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Пн Янв 22 02:47:49 MSK 2007
Обсуждать policy IMHO лучше в devel на .
On Mon, Jan 22, 2007 at 02:18:20AM +0300, Mikhail Yakshin wrote:
> Dmitry V. Levin wrote:
> > On Sun, Jan 21, 2007 at 05:29:04AM +0300, Mikhail Yakshin wrote:
> >> А не может ли кто-нибудь прояснить ситуацию, которая складывается в ALT
> >> Linux с SSL, в частности - есть ли какой-то общий единый CA root ALT
> >> Linux, сертификат которого бы включался в дистрибутив и обязывался бы к
> >> использованию и принятию всеми программами (в основном - клиентами).
>
> [...]
>
> > Я вижу разумным сделать новый root CA, положить его в пакеты и дальше
> > использовать.
> >
> >> Ну и, соответственно, вопрос в продолжение первого - если таковая
> >> authority все-таки будет воскрешена - какова политика получения
> >> удостоверенных ею сертификатов?
> >
> > Политику предстоит утвердить. Какие будут предложения?
>
> Предлагаю сделать нечто вроде SSL policy и закрепить в ней примерно
> следующие основные пункты:
>
> ==========================================================================
>
> 1. Существует ALT root CA, принадлежащий ООО (как и все остальные
> основные подписи и ключи по репозитариями и по проекту в целом).
Я сомневаюсь в том, что всё это принадлежит OOO.
> 1.1. Сертификат имеет CN=<такой-то>, OU=<такой-то>, O=<такой-то>,
> C=<такой-то> (и т.п.)
> 1.2. Срок действия CA устанавливается в <X> лет.
А какой срок является традиционным? 3 года? 5 лет?
> 1.3. Его поддержанием, регенерацией, выписыванием сертификатов
> занимается <видимо, кто-то из суппорта?>
Это мы уже проходили. К сожалению, в суппорте для этого слишком низкая
мера ответственности. Думаю что security на altlinux для этого лучше
подходит.
> 1.4. Регенерация делается за <полгода> до окончания срока действия
> очередного основного CA: генерируется новый сертификат и в эти полгода
> все носят 2 сертификата. Старый сертификат выкидывается отовсюду по
> возможности, как его срок действия совсем заканчивается.
Судя по опыту замены gpg-ключей, полгода будет мало. Лучше если год.
> 1.5. Сертификат всегда доступен для скачивания с
> <https://tls.altlinux.org>, а также в пакете openssl (из тех
> соображений, что он у нас наиболее системообразующий).
>
> 2. Все https-серверы и XMMP-серверы ALT (как минимум, перечисленные в
> gory details в первом письме) используют сертификаты, выписанные этим
> ALT root CA.
>
> 2.1. Сертификаты должны иметь корректно установленные, в том числе,
> например, правильный CN.
> 2.2. Т.к. есть, как минимум, 3 домена (altlinux.org, altlinux.ru,
> altlinux.com), видимо, на каждый сервис нужно выписывать 3 сертификата.
Точнее говоря, на каждый поддерживаемый этим сервисом домен.
> 2.3. Там, где https объективно не нужен - его вообще быть не должно, 443
> порт закрыт.
Мне кажется, что это требование более универсально, чем SSL policy.
> 3. Все члены команды ALT имеют право попросить заверенные этим CA
> сертификаты в любом количестве для своих личных нужд.
Это утверждение надо переформулировать таким образом, чтобы исключить
неправильную трактовку, напр. рост количества сертификатов в
геометрической прогрессии.
> Пункт 4
> гарантирует, что такой сертификат, заверенный ALT, будет, как минимум,
> восприниматься всеми системами, работающими под управлением ALT Linux.
>
> 3.1. Сертификаты, подписанные этим CA, для третьих лиц и организаций, не
> являющихся членами команды ALT, распространяются ООО по своему усмотрению.
>
> 4. Все пакеты в Сизифе, которые могут использоваться в качестве клиентов
> для доступа к серверам к TLS/SSL и которые не используют обычные
> системные хранилища сертификатов, должны носить в своем списке CA
> дополнительно еще и ALT root CA, и, таким образом.
>
> 4.1. Проверить работоспособность клиента в плане принятия сертификатов
> ALT можно на https://bugs.altlinux.org/ и на xmpp://altlinux.org
> 4.2. Несоответствие пакета пункту 4 настоящей policy - <block> bug.
>
> 5. Все пакеты в Сизифе, которые могут использоваться как серверы с
> TLS/SSL должны иметь упоминание (например, в README.alt) о наличии ALT
> root CA, о пункте 3 и давать ссылку на настоящую policy.
>
> 5.1. Примерный текст упоминания (приветствуется изменение его для
> лучшего отражения специфики пакета - http, xmpp, imap-сервер и т.п.):
>
> Данный пакет позволяет организовать сервер, соединения с которым будут
> защищены с помощью TLS/SSL. Для этого нужен сертификат сервера.
> Сертификат может быть самоподписанным, в таком случае он будет
> восприниматься только ограниченным рядом систем, на каждую такую систему
> его придется переносить вручную. Для того, чтобы его принимало
> автоматически больше систем, нужен сертификат, подписанный какой-то
> известной большинству систем организацией - Certificate Authority.
>
> В ALT Linux есть собственная Certificate Authority. В соответствии с TLS
> policy, члены команды ALT могут получать неограниченное число
> подписанных ей сертификатов, которые, таким образом, будут корректно
> приниматься на всех системах ALT Linux.
>
> Подробности получения сертификатов можно узнать на https://tls.altlinux.org/
>
> ALT Linux TLS policy доступна на http://<URL где будет лежать policy>
SSL policy или TLS policy? :)
> 5.2. Отсутствия такого текста - <minor> bug.
>
> ==========================================================================
>
> Оно же закинуто на http://www.freesource.info/wiki/Altlinux/Policy/TLS
>
> Прошу помочь вписать значения в <...> и высказаться насчет общего
> видения возможности принятия такой policy.
Не вижу принципиальных трудностей.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20070122/93eaaa2c/attachment-0001.bin>
Подробная информация о списке рассылки Devel