Вход:  Пароль:  
FreeSource: AltLinux/Policy/TLS ...
Free Source | Каталог | Изменения | НовыеКомментарии | Пользователи | Регистрация |
Это старая версия AltLinux/Policy/TLS за 2007-01-22 15:28:27..

TLS/SSL policy


  1. Существует ALT root CA, принадлежащий ООО (как и все остальные основные подписи и ключи по репозитариями и по проекту в целом).
    1. Сертификат имеет CN=<такой-то>, OU=<такой-то>, O=<такой-то>, C=<такой-то> (и т.п.)
    2. Срок действия CA устанавливается в <X> лет.
    3. Его поддержанием, регенерацией, выписыванием сертификатов занимается <видимо, кто-то из суппорта?>
    4. Регенерация делается за <полгода> до окончания срока действия очередного основного CA: генерируется новый сертификат и в эти полгода все носят 2 сертификата. Старый сертификат выкидывается отовсюду по возможности, как его срок действия совсем заканчивается.
    5. Сертификат всегда доступен для скачивания с <https://tls.altlinux.org>, а также в пакете openssl (из тех соображений, что он у нас наиболее системообразующий).
  2. Все https-серверы и xmpp-серверы ALT (как минимум, перечисленные в gory details в первом письме) используют сертификаты, выписанные этим ALT root CA.
    1. Сертификаты должны иметь корректно установленные, в том числе, например, правильный CN.
    2. Т.к. есть, как минимум, 3 домена (altlinux.org, altlinux.ru, altlinux.com), видимо, на каждый сервис нужно выписывать 3 сертификата.
    3. Там, где https объективно не нужен – его вообще быть не должно, соответствующий порт (443) закрыт.
  3. Все члены команды ALT имеют право попросить заверенные этим CA сертификаты в любом количестве для своих личных нужд. Пункт 4 гарантирует, что такой сертификат, заверенный ALT, будет, как минимум, восприниматься всеми системами, работающими под управлением ALT Linux.
    1. Сертификаты, подписанные этим CA, для третьих лиц и организаций, не являющихся членами команды ALT, распространяются ООО по своему усмотрению.
  4. Все пакеты в Сизифе, которые могут использоваться в качестве клиентов для доступа к серверам к TLS/SSL и которые не используют обычные системные хранилища сертификатов, должны носить в своем списке CA дополнительно еще и ALT root CA, и, таким образом.
    1. Проверить работоспособность клиента в плане принятия сертификатов ALT можно на https://bugs.altlinux.org/ и на xmpp://altlinux.org
    2. Несоответствие пакета пункту 4 настоящей policy – <block> bug.
  5. Все пакеты в Сизифе, которые могут использоваться как серверы с TLS/SSL должны иметь упоминание (например, в README.alt) о наличии ALT root CA, о пункте 3 и давать ссылку на настоящую policy.
    1. Примерный текст упоминания (приветствуется изменение его для лучшего отражения специфики пакета – http, xmpp, imap-сервер и т.п.):
    2. Отсутствия такого текста – <minor> bug.

Страницы, ссылающиеся на данную: AltLinux/Policy
AltLinux/Policy/TLS/enforcement
AltLinux/Sisyphus
Altlinux/Policy
Altlinux/Policy/TLS/enforcement


 
Файлов нет. [Показать файлы/форму]
Комментариев нет. [Показать комментарии/форму]