Вход:  Пароль:  
FreeSource: AltLinux/Policy/TLS/enforcement ...
Free Source | Каталог | Изменения | НовыеКомментарии | Пользователи | Регистрация |
Эта страница была перенесена на altlinux.org. Текст на freesource.info заморожен.

TLS/SSL policy enforcement status


У нас формально введена в действие новая TLS/SSL policy. Ниже приведен некий анализ пакетов, которые ей пока (возможно, я ошибаюсь) не следуют.


Данный список предполагается поддерживать в актуальном состоянии и отмечать в нем вычеркиванием все проверенные пакеты и проведенный объем работ.

Клиентские пакеты


Особые случаи



Самое главное – он уже давно просрочен. Прошу комментариев у мейнтейнера, что это за сертификат и не имеет ли смысл заменить его либо на автоматически генерящийся, либо на подписанный нашим CA, например?



Прошу комментариев мейнтейнера – зачем такой сертификат лежит в пакете?




Языки программирования


возникает резонный вопрос: если в этих языках программирования использовать их встроенные биндинги на Open SSL? – будет ли автоматически подхватываться наш CA bundle?


Это вопрос к мейнтейнерам или лучше даже просто тем, кто знает эти языки. К сожалению, я erlang и scheme не знаю в той степени, чтобы ответить на такой вопрос. Про php, perl и, возможно, python, посмотрю либо позже сам, либо ответят мейнтейнеры.

Нет major претензий к серверным пакетам



Ко всем этим пакетам есть minor замечания по поводу п.5 полиси.

Все остальные пакеты, линкующие с libssl


Нужно просто вручную рассмотреть все пакеты, которые зависят от libssl с куда более пристрастной проверкой: внутри каждого из них может быть инициализация openssl с использованием наших общих CA или без. Во втором случае это предполагается исправлять.


Дополнительный список (уже подправлен – выкинуты те библиотеки, которые линкуются только с libcrypto, но не с libssl):

Клиенты


Их нужно проверять в первую очередь.


HTTP


Рекомендованная проверка:

  1. должно работать: https://heap.altlinux.org/
  2. должно не работать: https://newstat.netbynet.ru/ (самоподписанный сертификат)

E-mail (imaps, pop3s, s/mime)


FTP 


IRC 


XMPP


Пока проверять их не получится, т.к. на jabber.altlinux.org все еще старый сертификат, не подписанный новой CA.


Серверы


Как правило, по своей природе серверы реже проверяют клиентские сертификаты, чем клиенты – серверные, и, как правило, внутри пакета-сервера лежит просто пример серверного сертификата. Эти пакеты имеет смысл смотреть во вторую очередь.


Unsorted



 
Файлов нет. [Показать файлы/форму]
Комментариев нет. [Показать комментарии/форму]