[devel] Почему системные сертификаты хранятся в /usr/share/ca-certificates?

[Mikhail Efremov]

On Thu, 17 May 2018 09:16:57 +0300 Eugine Kosenko wrote:
> Haskell stack, собранный по умолчанию, не может без особых ухищрений
> добраться до своих репозитариев, так как ожидает, что системные
> сертификаты лежат в каталоге /etc/ssl/certs. Это прописано тут:
> 
> https://github.com/vincenthz/hs-certificate/blob/master/x509-system/System/X509/Unix.hs#L29-L34
> 
> В частности, именно так лежат сертификаты в Ubuntu.

В Debian когда-то так решили. У нас когда-то решили иначе. Как было
раньше в Федоре я не помню, но там запросто мог быть какой-то третий
вариант.

> В принципе, вопрос решается путем установки системной переменной
> SYSTEM_CERTIFICATE_PATH либо приложением небольшого патча к этому
> файлу. Однако интересно, чем обусловлен выбор нынешнего положения
> каталога с сертификатами?

Сейчас в Сизифе используется p11-kit, как и в Федоре, т.е. есть еще
ссылка на сертификаты /etc/pki/tls/certs/ca-bundle.crt, ну и сам
автогенерируемый файл /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.
Можно почитать обсуждение здесь в конце декабря - начале января.

В принципе, для совместимости с какой-нибудь проприетарщиной под
Debian/Ubuntu вполне можно добавить в пакет
ссылку /etc/ssl/certs/ca-certificates.crt, но сейчас такая ссылка
запакована в пакет steam.
Пакеты же собираемые в Сизиф лучше патчить, думаю. Особенно учитывая,
что в Debian тоже давно уже думают о переходе на использование p11-kit,
AFAIR.

-- 
WBR, Mikhail Efremov