[devel] RFC: ca-certificates a la Fedora

Dmitry V. Levin ldv на altlinux.org
Пт Дек 22 04:28:05 MSK 2017 

On Fri, Dec 22, 2017 at 01:36:06AM +0100, Alexey Gladkov wrote:
> On Thu, Dec 21, 2017 at 06:48:16PM +0300, Mikhail Efremov wrote:
> > Hello!
> > 
> > Это должно работать с openssl и gnutls, а вот с nss проблема: я так
> > понимаю, что nss использует собственный бандл, а не системный, и
> > использует libnssckbi.so для работы с ним. В p11-kit используется модуль
> > pkcs11/p11-kit-trust.so и утверждается, что он бинарно совместим с
> > libnssckbi.so, так что в Федоре некоторое время имели модули
> > libnssckbi.so и p11-kit-trust.so на альтернативах, а сейчас просто
> > выкинули libnssckbi.so из nss
> > (https://bugzilla.redhat.com/show_bug.cgi?id=1484449).
> > Но даже если про бинарную совместимость - это правда, то у меня есть
> > сомнения, что это всегда будет так в следующих версиях nss и p11-kit и
> > нас нет автоматической проверки таких вещей при сборке.
> 
> Нету. Плюс появление несовместимости станет блокирокером к обновлению nss,
> что с точке зрения безопасности мне не нравится.
> 
> Если идти по этому пути, то я бы сделал альтернативы для этой библиотеки.

Альтернативы для библиотек -- это вообще плохая идея, я всё никак не
придумаю способа их эффективно запретить.

> Кроме того, в nssckbi встроенная база Root CA Certificate поддерживается в
> актуальном состоянии Mozilla.

Пакет ca-certificates, насколько я понимаю, поставляет ту же самую базу,
которую импортирует из nss/lib/ckfw/builtins/certdata.txt,
достаточно просто обновлять её своевременно.

> В тоже время
> 
> #
> # ALT CA
> #
>          
> Certificate:
>     Data:
>         Version: 3 (0x2)
>         Serial Number: 0 (0x0)
>     Signature Algorithm: sha1WithRSAEncryption
>         Issuer: C=RU, O=ALT Linux Team, OU=ALT Certification Authority, CN=ALT Root Certification Authority/emailAddress=ca-root на altlinux.org
>         Validity
>             Not Before: Jan  1 00:00:00 2007 GMT
>             Not After : Jan  1 00:00:00 2017 GMT
>         Subject: C=RU, O=ALT Linux Team, OU=ALT Certification Authority, CN=ALT Root Certification Authority/emailAddress=ca-root на altlinux.org
> 
> И вот `Not After : Jan  1 00:00:00 2017 GMT` вселяет сомнения в таком же
> уровне поддержки.

Это артефакт, ALT CA давно решили упразднить.

> > libnssckbi.so, тогда у нас действительно будет единое место для
> > хранения CA сертификатов. Эту проблему придется как-то решать.
> 
> На мой взгляд правильный путь это добавление сертификатов в базу nss.
> https://wiki.mozilla.org/NSS_Shared_DB
> https://wiki.mozilla.org/NSS_Shared_DB_And_LINUX

Существует ли инструмент экспорта в формат, с которым работает libnssckbi.so?

> Ну или альтертантивы для libnssckbi.so.

Либо разные реализации libnssckbi.so окажутся настолько совместимы, что
будет использоваться только одна, либо нет, и тогда придётся использовать
разные реализации одновременно и мы вернёмся к нынешней ситуации.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 801 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20171222/e3b64136/attachment-0001.bin>

Подробная информация о списке рассылки Devel