[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ

[Aleksey Novodvorsky]

2 авг. 2017 г. 4:24 PM пользователь "Paul Wolneykien" <manowar на altlinux.org>
написал:

02.08.2017 16:16, Павел Исопенко пишет:
> Добрый день.
>
> 02.08.2017 14:03, Alexey Gladkov пишет:
>> Тема безусловно горячая т.к. не все мантейнеры пакетов сизифа проживают в
>> России, не говоря уже о пользователях. Поэтому безусловное добавление
>> специфичных сертификатов мне кажется спорным решением.
> Согласен. Как инициатор упоминавшегося выше
> https://bugzilla.altlinux.org/show_bug.cgi?id=33498, склоняюсь к
> варианту всё-таки условного добавления специфичных сертификатов решением
> администратора конкретной системы. Другое дело, что механизм добавления
> крайне желательно запроектировать более-менее удобным и пригодным для
> автоматизации. Может быть Alterator?

  +1. А если иерархия УЦ РФ подразделяется на какие-то достаточно
крупные самостоятельные части, то стоит, наверное, так и представить это
для пользователя. Примерно так, как сейчас выбираются группы пакетов в
инсталляторе. Чтобы можно было указать: вот этим доверяю, а вот этим — нет.

  И в принципе, всё это относится также и к "западным" сертификатам,
разве нет? Взять ту же историю с WoSign: одни люди склонны ей доверять,
а другие — нет.
  Так что может быть имеет смысл сделать единый модуль
"alterator-trusted-cas", в котором пользователь мог бы включать и
выключать группы доверенных корневых сертификатов, как RSA, так и ГОСТ
или что-то иное.


Возможно.

В том числе при установке системы.


Не стоит перегружать разными функциями установщик. Опытный пользователь сам
настроит систему, а начинающего это вгонит в ступор.

Rgrds, Алексей
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20170802/b270c8e3/attachment-0001.html>