[devel] ca-trust и objsign

[Vitaly Lipatov]

Alexey V. Vissarionov писал(а) 8.4.24 13:24:
> Good ${greeting_time}!
> 
> On 2024-04-07 20:30:26 +0300, Vitaly Lipatov wrote:
> 
>  > Обратил внимание, в
>  > /etc/pki/ca-trust/extracted/pem/objsign-ca-bundle.pem в отличие
>  > от других дистрибутивов, у нас не заполнен (по факту пуст в
>  > свежеустановленной системе).
> 
> И это очень хорошо.
Замечу, что при установке ca-certificates-digital.gov.ru сертификаты 
оттуда попадают в objsign.

> 
>  > При этом оказалось, что dotnet активно использует сертификаты
>  > для проверки подлинности модулей, и в итоге проверить не может.
> 
> Сертификаты источников этих модулей нужно добавлять явно. И только
> тех, которым мы действительно доверяем.
А в каких местах это доверие может использоваться? Например, в Windows 
может проверяться подпись exe-файлов перед выполнением.
А что у нас в системе может быть завязано на эти сертификаты?

...
> Насколько я понимаю, строго сформулированной политики нет, но
> явное добавление каждого нужного сертификата лично мне видится
> единственным разумным решением.
...

> При этом, повторю, зависимостей от пакетов с этими сертификатами
> быть не должно: ответственность за их появление в системе нужно
> возложить на пользователя, а не на мейнтейнера.
Я мог бы вписать это в соответствующее Policy, если нет возражений или 
других мнений.

Со своей стороны посмотрю детальнее, как решить возникшую проблему со 
сборкой приложений dotnet.

-- 
С уважением,
Виталий Липатов,
ALT Linux Team