[devel] Почему системные сертификаты хранятся в /usr/share/ca-certificates?

Пт Май 18 11:35:29 MSK 2018

On Fri, 18 May 2018, Mikhail Efremov wrote:

> On Thu, 17 May 2018 09:16:57 +0300 Eugine Kosenko wrote:
> > Haskell stack, собранный по умолчанию, не может без особых ухищрений
> > добраться до своих репозитариев, так как ожидает, что системные
> > сертификаты лежат в каталоге /etc/ssl/certs. Это прописано тут:
> > 
> > https://github.com/vincenthz/hs-certificate/blob/master/x509-system/System/X509/Unix.hs#L29-L34
> > 
> > В частности, именно так лежат сертификаты в Ubuntu.

> Сейчас в Сизифе используется p11-kit, как и в Федоре, т.е. есть еще
> ссылка на сертификаты /etc/pki/tls/certs/ca-bundle.crt, ну и сам
> автогенерируемый файл /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.

> В принципе, для совместимости с какой-нибудь проприетарщиной под
> Debian/Ubuntu вполне можно добавить в пакет
> ссылку /etc/ssl/certs/ca-certificates.crt, но сейчас такая ссылка
> запакована в пакет steam.

По-моему, неплохое решение на переходный период. Раз у этого уже ожидается 
два клиента.

> Пакеты же собираемые в Сизиф лучше патчить, думаю. Особенно учитывая,
> что в Debian тоже давно уже думают о переходе на использование p11-kit,
> AFAIR.

Тоже неплохая идея: сделать тот исходник более переносимым и предложить 
патч им в upstream.

-- 
Best regards,
Ivan