[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ

[Vladimir Didenko]

1 августа 2017 г., 0:31 пользователь Vitaly Lipatov написал:
>
>
> Судя по всему, есть мнение, что такие сертификаты не должны включаться в
> список ca-bundle.crt:
> https://bugzilla.altlinux.org/show_bug.cgi?id=33498

На мой взгляд, правильное мнение.


> Насколько я понимаю ситуацию в мире веб-сервисов (смотрю на примере nginx,
> postfix, jabberd2 и т.п.) с установленными SSL-сертификатами, там приходится
> применять следующий подход: указывается не только
> сертификат, полученный для сайта, но ещё и все промежуточные сертификаты,
> чтобы клиент, имеющий скудный набор корневых сертификатов (в браузере или в
> ca-bundle.crt) мог удостовериться в его подлинности.

Да, это требование RFC SSL/TLS.

>
> К моему большому удивлению, (в openssl) нет механизма (или я его не заметил)
> использования нескольких файлов с сертификатами.

Ну как же, у функции SSL_CTX_load_verify_locations
(https://wiki.openssl.org/index.php/Manual:SSL_CTX_load_verify_locations(3))
есть параметр CApath - путь к директории с файлами сертификатов. Более
того, файлы подгружаются по мере надобности, а не сразу во время
старта.

> Даже не существует
> стандартного пути, и программы (библиотеки), использующие ca-bundle.crt,
> должны сами указывать к нему путь.

А X509_get_default_cert_*() не решают эту проблему?

-- 
С уважением,
Владимир.