[devel] RFC: ca-certificates a la Fedora

Alexey Gladkov legion на altlinux.ru
Пт Дек 22 05:26:48 MSK 2017


On Fri, Dec 22, 2017 at 04:28:05AM +0300, Dmitry V. Levin wrote:
> > Нету. Плюс появление несовместимости станет блокирокером к обновлению nss,
> > что с точке зрения безопасности мне не нравится.
> > 
> > Если идти по этому пути, то я бы сделал альтернативы для этой библиотеки.
> 
> Альтернативы для библиотек -- это вообще плохая идея, я всё никак не
> придумаю способа их эффективно запретить.

Если всё как сказал sem@ и действительно есть полная совместимость, то
проблем не будет. Если несовместимость всё-таки появится/может появиться,
то пользователи смогут переключиться на апстримную библиотеку (хотя бы
временно). Это лучше, чем класть все яйца в одну корзину.

> Пакет ca-certificates, насколько я понимаю, поставляет ту же самую базу,
> которую импортирует из nss/lib/ckfw/builtins/certdata.txt,
> достаточно просто обновлять её своевременно.

Сейчас с обновлением nss firefox, thunderbird и chromium получают новую
базу (это почти правде). Если ca-certificates обновляются из того же
источника,тогда почему он не собирается из libnss ?

> Это артефакт, ALT CA давно решили упразднить.

Его больше нет в ca-certificates. В следующей сборке nss тоже выкину.

> > На мой взгляд правильный путь это добавление сертификатов в базу nss.
> > https://wiki.mozilla.org/NSS_Shared_DB
> > https://wiki.mozilla.org/NSS_Shared_DB_And_LINUX
> 
> Существует ли инструмент экспорта в формат, с которым работает libnssckbi.so?

Я начинал делать общую базу для nss, когда поддерживал всё от mozilla, но
остановился и выпал из контекста. Поэтому ответить на этот вопрос сейчас
не могу.

После поверхностного просмотра там вроде формат базы sqlite.

Я знаю, что в этом плане у RH были наработки. Правда, ходят слухи, что RH
планирует уйти с nss. Так что, кто знает...

> > Ну или альтертантивы для libnssckbi.so.
> 
> Либо разные реализации libnssckbi.so окажутся настолько совместимы, что
> будет использоваться только одна, либо нет, и тогда придётся использовать
> разные реализации одновременно и мы вернёмся к нынешней ситуации.

Именно, но откат пользователя к апстримной библиотеке мне кажется более
удачным вариантом, чем невозможность пользоваться браузером/почтой вообще,
в случае, когда вместо libnssckbi.so будет несовместимая библиотека.

-- 
Rgrds, legion

----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 163 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20171222/b36aee8f/attachment.bin>


Подробная информация о списке рассылки Devel