Вход:  Пароль:  
FreeSource: AltLinux/Policy/TLS/enforcement ...
Free Source | Каталог | Изменения | НовыеКомментарии | Пользователи | Регистрация |
Это старая версия AltLinux/Policy/TLS/enforcement за 2007-02-10 03:14:35..

TLS/SSL policy enforcement status


У нас формально введена в действие новая TLS/SSL policy. Ниже приведен некий анализ пакетов, которые ей пока (возможно, я ошибаюсь) не следуют.


Данный список предполагается поддерживать в актуальном состоянии и отмечать в нем вычеркиванием все проверенные пакеты и проведенный объем работ.

Клиентские пакеты


который рекомендуется копировать в /.smime/ca-bundle.crt, чтобы mutt его нашел и использовал. Прошу пояснений мейнтейнера, можно ли заставить mutt использовать стандартные механзимы поиска списка CA через openssl?

Особые случаи



Самое главное – он уже давно просрочен. Прошу комментариев у мейнтейнера, что это за сертификат и не имеет ли смысл заменить его либо на автоматически генерящийся, либо на подписанный нашим CA, например?



Прошу комментариев мейнтейнера – зачем такой сертификат лежит в пакете?




Языки программирования


возникает резонный вопрос: если в этих языках программирования использовать их встроенные биндинги на Open SSL? – будет ли автоматически подхватываться наш CA bundle?


Это вопрос к мейнтейнерам или лучше даже просто тем, кто знает эти языки. К сожалению, я erlang и scheme не знаю в той степени, чтобы ответить на такой вопрос. Про php, perl и, возможно, python, посмотрю либо позже сам, либо ответят мейнтейнеры.

Нет major претензий к серверным пакетам



Ко всем этим пакетам есть minor замечания по поводу п.5 полиси.

Все остальные пакеты, линкующие с libssl


Нужно просто вручную рассмотреть все пакеты, которые зависят от libssl с куда более пристрастной проверкой: внутри каждого из них может быть инициализация openssl с использованием наших общих CA или без. Во втором случае это предполагается исправлять.


Дополнительный список (уже подправлен – выкинуты те библиотеки, которые линкуются только с libcrypto, но не с libssl):

Клиенты


Их нужно проверять в первую очередь.


Серверы


Как правило, по своей природе серверы реже проверяют клиентские сертификаты, чем клиенты – серверные, и, как правило, внутри пакета-сервера лежит просто пример серверного сертификата. Эти пакеты имеет смысл смотреть во вторую очередь.


Unsorted



 
Файлов нет. [Показать файлы/форму]
Комментариев нет. [Показать комментарии/форму]