[sisyphus] Q: SSL in ALT Linux
Mikhail Yakshin
=?iso-8859-1?q?greycat_=CE=C1_altlinux=2Eorg?=
Вс Янв 21 05:29:04 MSK 2007
Приветствую!
А не может ли кто-нибудь прояснить ситуацию, которая складывается в ALT
Linux с SSL, в частности - есть ли какой-то общий единый CA root ALT
Linux, сертификат которого бы включался в дистрибутив и обязывался бы к
использованию и принятию всеми программами (в основном - клиентами).
Насколько я понимаю - сейчас этого нет - есть смотреть на файл
/var/lib/ssl/cert.pem из openssl. Если смотреть на список built-in CA
tokens в Mozilla - то есть некий токен "ALT Linux CA Root". В KDE -
ничего такого нет.
Кроме того, ситуация такова:
========================================================================
https://backports.altlinux.org
https://faq.altlinux.ru
https://bugzilla.altlinux.org - самоподписанный сертификат на "bugzilla"
организации "ALT Linux" (серийный номер 0).
https://www.altlinux.ru или .org - самоподписанный сертификат на
"support" организации "ALT Linux ru" (серийный номер 0)
https://lrn.ru
https://docs.altlinux.ru - тот же сертификат www.altlinux.ru, плюс еще
под https показывается не содержимое ожидаемого сайта, а именно сайт
http://www.altlinux.ru
xmpp://altlinux.org:5223 - сертификат с серийным номером 2, выписанный
на "Jabber service" организации "ALT Linux Team", подписан CN="ALT Linux
CA Root"
https://lists.altlinux.ru - просроченный (уже давно - с 24.05.2006)
сертификат с серийным номером 10, выписанный на CN="lists.altlinux.ru",
OU="ALT Linux Support Department", подписан все той же CN="ALT Linux CA
Root"
https://heap.altlinux.ru - очень странный сертификат, видимо,
сгенеренный по какому-то образцу с настройками по умолчанию для "E =
webmaster на localhost; CN = localhost; OU = Webserver Team; O = Localhost,
Inc; L = Local Town; ST = Local Country; C = LO", подписан не менее
эфемерным "E = ca на snakeoil.dom; CN = Snake Oil CA; OU = Certificate
Authority; O = Snake Oil, Ltd; L = Snake Town; ST = Snake Desert; C =
XY". Причем еще в связке нет второго сертификата для этого эфемерного
CA, а основной сертификат носит серийный номер 3, значит, где-то есть
еще несколько таких сертификатов.
https://*.mozilla.ru и mozilla-russia.org - сертификат, выписанный на
"*.unsafe.ru", подписанный CN="UNSAFE.RU Root CA". Серийный номер аж
00:C0:42:93:C6:BF:19:B5:2A. В общем, здесь как раз все понятно.
========================================================================
Т.е., видимо, "ALT Linux CA Root" когда-то давно действительно
использовалась - можно поинтересоваться, что с ней стало, какова
официальная позиция мейнтейнеров основных пакетов, использующих SSL по
этому вопросу (openssl, mozilla, kde)?
Ну и, соответственно, вопрос в продолжение первого - если таковая
authority все-таки будет воскрешена - какова политика получения
удостоверенных ею сертификатов?
--
WBR, Mikhail Yakshin AKA GreyCat
ALT Linux [http://www.altlinux.ru] [xmpp:greycat на altlinux.org]
Подробная информация о списке рассылки Sisyphus