[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ

Paul Wolneykien manowar на altlinux.org
Ср Авг 2 16:24:41 MSK 2017


02.08.2017 16:16, Павел Исопенко пишет:
> Добрый день.
> 
> 02.08.2017 14:03, Alexey Gladkov пишет:
>> Тема безусловно горячая т.к. не все мантейнеры пакетов сизифа проживают в
>> России, не говоря уже о пользователях. Поэтому безусловное добавление
>> специфичных сертификатов мне кажется спорным решением.
> Согласен. Как инициатор упоминавшегося выше
> https://bugzilla.altlinux.org/show_bug.cgi?id=33498, склоняюсь к
> варианту всё-таки условного добавления специфичных сертификатов решением
> администратора конкретной системы. Другое дело, что механизм добавления
> крайне желательно запроектировать более-менее удобным и пригодным для
> автоматизации. Может быть Alterator?

  +1. А если иерархия УЦ РФ подразделяется на какие-то достаточно
крупные самостоятельные части, то стоит, наверное, так и представить это
для пользователя. Примерно так, как сейчас выбираются группы пакетов в
инсталляторе. Чтобы можно было указать: вот этим доверяю, а вот этим — нет.

  И в принципе, всё это относится также и к "западным" сертификатам,
разве нет? Взять ту же историю с WoSign: одни люди склонны ей доверять,
а другие — нет.
  Так что может быть имеет смысл сделать единый модуль
"alterator-trusted-cas", в котором пользователь мог бы включать и
выключать группы доверенных корневых сертификатов, как RSA, так и ГОСТ
или что-то иное.
В том числе при установке системы.



Подробная информация о списке рассылки Devel