[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ

[Konstantin Lepikhov]

Hi Paul!

On 08/02/17, at 04:24:41 PM you wrote:

<skip>
>   +1. А если иерархия УЦ РФ подразделяется на какие-то достаточно
> крупные самостоятельные части, то стоит, наверное, так и представить это
> для пользователя. Примерно так, как сейчас выбираются группы пакетов в
> инсталляторе. Чтобы можно было указать: вот этим доверяю, а вот этим — нет.
Это все имеет очень косвенное отношение к проблеме. Проблема в том, что
предлагается упростить правила по обеспечению безопасности списка
доверенных корневых сертификатов на уровне системы с формулировкой "я не хочу
заморачиваться, сделайте красиво". К сожалению, тут такие формулировки
неуместны. Неважно какие сертификаты и от какого УЦ там будут, это просто
работает по другому: когда есть формальные критерии и изменения им
удовлетворяют.

Я привел документ (Mozilla Root Store policy)[1], на котором основан список
сертификатов ca-bundle в системе, и хотелось бы получить что-то со стороны
сторонников "по мирному" и "инсинуаций".

PS Mozilla тут только в качестве хранителя ресурса, сертификацией и
поддержкой NSS вообще-то занимается RedHat[2].

1. https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/
2. https://wiki.mozilla.org/FIPS_Validation

-- 
WBR et al.