[devel] Вопросы новичка

Victor B. Wagner vitus на altlinux.org
Вт Май 5 17:25:56 MSD 2009 

On 2009.05.05 at 17:06:22 +0400, Alexey I. Froloff wrote:

> * Victor B. Wagner <vitus@> [090505 12:13]:
> > > Пакет ca-certificates предоставляет хранилище trusted CA для тех
> > > библиотек, которые в состоянии им пользоваться.  На данный момент
> > > это только openssl.
> > То есть на данный момент при модификации пакета openssl можно заодно и с
> > ca-certificates делать все, что угодно? Никто не окажется несправедливо
> > обиженным?
> Скажем, так, мне бы не хотелось видеть cert-sh-functions вусмерть
> разломанным.

Понятно. Вот один кандидат на должность того, кого надо не сломать.

Хотя в логике работы этого пакета надо бы поразбираться.

Во-первых, как я погляжу, он, если ему не указать более другого
конфигурационного файла OpenSSL, генерирует какой-то безумно древний
формат сертификата. Стандартного по X509v3 расширения
extendedKeyUsage = serverAuth не кладет, а вместо этого кладет
nsCertType, про который все уже давно забыли, что такое бывает.

Во-вторых, самоподписанные сертификаты - зло.  Они создают иллюзию
безопасности, не обеспечивая реальной защиты от MitM
Ни в коем случае нельзя генерировать самоподписанные сертификаты со
сроком действия год. Неделю - еще куда ни шло, месяц - ну, еще можно
перетерпеть. 

Понятно, что чтобы поднять и протестировать работоспособность сервиса
они годятся. Но нужно назойливо напоминать администратору, чтобы как
только так сразу, заменил самоподписанный сертификат на нормальный.
Пусть выписанный собственным УЦ, но с отдельным сертификатом УЦ,
с прописанным crlDistributionPoints и т.д.

Может быть имеет смысл включить в дистрибутив микро-УЦ, который бы
позволял на ходу генерировать нормальные сертификаты, и в случае если
этот пакет установлен и сконфигурирован, автоматически переключать
cert-sh-functions на использование этого УЦ.

Правда тут есть такая тонкость - postinst скрипты в Alt принципиально
неинтерактивные. А полноценный УЦ без хотя бы парольной защиты
секретного ключа, а лучше ключа на на каком-нибудь аппаратном токене -
не бывает.

Ну и в DN стоило бы писать побольше полезной информации.
Заявка, сгенерированная пакетом cert-sh-functions в существующем виде, 
не будет принята большинством УЦ по причине отсутствия в DN поля
emailAddress.

Подробная информация о списке рассылки Devel