[devel] RFC: ca-certificates a la Fedora
Dmitry V. Levin
ldv на altlinux.org
Пт Дек 22 04:28:05 MSK 2017
On Fri, Dec 22, 2017 at 01:36:06AM +0100, Alexey Gladkov wrote:
> On Thu, Dec 21, 2017 at 06:48:16PM +0300, Mikhail Efremov wrote:
> > Hello!
> >
> > Это должно работать с openssl и gnutls, а вот с nss проблема: я так
> > понимаю, что nss использует собственный бандл, а не системный, и
> > использует libnssckbi.so для работы с ним. В p11-kit используется модуль
> > pkcs11/p11-kit-trust.so и утверждается, что он бинарно совместим с
> > libnssckbi.so, так что в Федоре некоторое время имели модули
> > libnssckbi.so и p11-kit-trust.so на альтернативах, а сейчас просто
> > выкинули libnssckbi.so из nss
> > (https://bugzilla.redhat.com/show_bug.cgi?id=1484449).
> > Но даже если про бинарную совместимость - это правда, то у меня есть
> > сомнения, что это всегда будет так в следующих версиях nss и p11-kit и
> > нас нет автоматической проверки таких вещей при сборке.
>
> Нету. Плюс появление несовместимости станет блокирокером к обновлению nss,
> что с точке зрения безопасности мне не нравится.
>
> Если идти по этому пути, то я бы сделал альтернативы для этой библиотеки.
Альтернативы для библиотек -- это вообще плохая идея, я всё никак не
придумаю способа их эффективно запретить.
> Кроме того, в nssckbi встроенная база Root CA Certificate поддерживается в
> актуальном состоянии Mozilla.
Пакет ca-certificates, насколько я понимаю, поставляет ту же самую базу,
которую импортирует из nss/lib/ckfw/builtins/certdata.txt,
достаточно просто обновлять её своевременно.
> В тоже время
>
> #
> # ALT CA
> #
>
> Certificate:
> Data:
> Version: 3 (0x2)
> Serial Number: 0 (0x0)
> Signature Algorithm: sha1WithRSAEncryption
> Issuer: C=RU, O=ALT Linux Team, OU=ALT Certification Authority, CN=ALT Root Certification Authority/emailAddress=ca-root на altlinux.org
> Validity
> Not Before: Jan 1 00:00:00 2007 GMT
> Not After : Jan 1 00:00:00 2017 GMT
> Subject: C=RU, O=ALT Linux Team, OU=ALT Certification Authority, CN=ALT Root Certification Authority/emailAddress=ca-root на altlinux.org
>
> И вот `Not After : Jan 1 00:00:00 2017 GMT` вселяет сомнения в таком же
> уровне поддержки.
Это артефакт, ALT CA давно решили упразднить.
> > libnssckbi.so, тогда у нас действительно будет единое место для
> > хранения CA сертификатов. Эту проблему придется как-то решать.
>
> На мой взгляд правильный путь это добавление сертификатов в базу nss.
> https://wiki.mozilla.org/NSS_Shared_DB
> https://wiki.mozilla.org/NSS_Shared_DB_And_LINUX
Существует ли инструмент экспорта в формат, с которым работает libnssckbi.so?
> Ну или альтертантивы для libnssckbi.so.
Либо разные реализации libnssckbi.so окажутся настолько совместимы, что
будет использоваться только одна, либо нет, и тогда придётся использовать
разные реализации одновременно и мы вернёмся к нынешней ситуации.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : signature.asc
Тип : application/pgp-signature
Размер : 801 байтов
Описание: отсутствует
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20171222/e3b64136/attachment-0001.bin>
Подробная информация о списке рассылки Devel