[devel] Вопросы новичка

Victor B. Wagner vitus на altlinux.org
Пн Май 4 19:51:46 MSD 2009 

On 2009.05.04 at 19:27:16 +0400, Alexey I. Froloff wrote:

> * Victor B. Wagner <vitus@> [090504 19:01]:
> > По этому вопросу интересно также мнение людей поддерживающих
> > более другие криптобиблиотеки  - libnss,
> Раскалённой кочергой вкомпилено в либу.  Централизованного
> хранилища сертификатов не существует.

Существует как минимум диалоговое окно в Mozilla Firefox, которое
позволяет импортировать сертификаты доверенных УЦ.

Следовательно,  API библиотеки позволяет каким-то образом втаскивать
новые сертификаты в это хранилище.

Если, конечно, мейнтейнеров софта на базе этой библиотеки не интересует
синхронизация набора доверенных сертификатов с набором, используемым
другими библиотеками, то это - ответ на мой вопрос. 

> > libgcrypt - как эти библиотеки доступаются к trusted CA store
> У libgcrypt нет такого понятия как "trust" вообще.  Это только
> алгоритмы шифрования.

Он есть у gnutls. Я употребил название gcrypt, поскольку сходу не
вспомнил правильное название той библиотеки, которая в этой системе
поддерживает набор вещей, более высокоуровневый, чем собственно
алгоритмы шифрования, но общий для TLS и S/MIME. Вообще в gnutls я из
трех основных opensource криптобиблиотек копался меньше всего.

> 
> > (потому что очевидно, что пакет ca-certificates должен
> > удовлетоврять потребности всех трех библиотек).
> Неочевидно.

То есть, вы считаете что неочевидно, что wget на конкретной системе 
должен доверять ровно тем
же УЦ, что и Firefox, а mutt - тем же, что и Thunderbird?

Серверный софт вроде apache и postgresql, у которого ДЕЙСТВИТЕЛЬНО могут
быть более другие требования по уровню доверия, сам о себе позаботится
посредством отказа от использования умолчательного хранилища
сертификатов, и явного прописывания в конфигах тех сертификатов, которым
они согласны доверять.

А пакет ca-certificates предназначен для клиентского софта. 
Соответственно, весь этот софт независимо от используемой
криптобиблиотеки по хорошему счету должен использовать именно этот набор
сертификатов. Вернее, тот, в который этот набор превратил пользователь,
добавив туда руками то, чему лично он доверяет.

Подробная информация о списке рассылки Devel