[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ
Vladimir Didenko
vladimir.didenko на gmail.com
Вт Авг 1 09:06:49 MSK 2017
1 августа 2017 г., 0:31 пользователь Vitaly Lipatov написал:
>
>
> Судя по всему, есть мнение, что такие сертификаты не должны включаться в
> список ca-bundle.crt:
> https://bugzilla.altlinux.org/show_bug.cgi?id=33498
На мой взгляд, правильное мнение.
> Насколько я понимаю ситуацию в мире веб-сервисов (смотрю на примере nginx,
> postfix, jabberd2 и т.п.) с установленными SSL-сертификатами, там приходится
> применять следующий подход: указывается не только
> сертификат, полученный для сайта, но ещё и все промежуточные сертификаты,
> чтобы клиент, имеющий скудный набор корневых сертификатов (в браузере или в
> ca-bundle.crt) мог удостовериться в его подлинности.
Да, это требование RFC SSL/TLS.
>
> К моему большому удивлению, (в openssl) нет механизма (или я его не заметил)
> использования нескольких файлов с сертификатами.
Ну как же, у функции SSL_CTX_load_verify_locations
(https://wiki.openssl.org/index.php/Manual:SSL_CTX_load_verify_locations(3))
есть параметр CApath - путь к директории с файлами сертификатов. Более
того, файлы подгружаются по мере надобности, а не сразу во время
старта.
> Даже не существует
> стандартного пути, и программы (библиотеки), использующие ca-bundle.crt,
> должны сами указывать к нему путь.
А X509_get_default_cert_*() не решают эту проблему?
--
С уважением,
Владимир.
Подробная информация о списке рассылки Devel