[devel] RFC: ca-certificates a la Fedora

Alexey Gladkov legion на altlinux.ru
Сб Дек 23 02:53:30 MSK 2017


On Sat, Dec 23, 2017 at 01:37:09AM +0300, Dmitry V. Levin wrote:
> Получается, что единственное доступное нам решение задачи, чтобы в nss
> были те же сертификаты, что и в openssl с gnutls - это заменить
> libnssckbi.so, который использует nss, ссылкой на альтернативного
> провайдера (/usr/lib64/pkcs11/p11-kit-trust.so), который это реализует.
> 
> Можно, конечно, управлять этой ссылкой с помощью механизма альтернатив,
> но я не вижу в этом смысла.
> Если какая-то версия nss перестанет работать с p11-kit-trust.so, то эту
> ссылку придётся временно заменить на файл, поставляемый с libnss, до тех
> пор, пока p11-kit-trust.so снова не заработает, после чего ссылку можно
> будет вернуть, поставив соответствующие зависимости (в данном случае,
> наверное, конфликты).
> Чем в этой ситуации поможет механизм альтернатив?

Я хотел бы иметь возможность использовать именно libnssckbi.so без
пересборки собственного пакета. Мне это хочется по ряду причин.

-- 
Rgrds, legion

----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 163 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20171223/5ec0a50d/attachment.bin>


Подробная информация о списке рассылки Devel