Bug 26904 - distrusted certificates are included in ca-bundle.crt
Summary: distrusted certificates are included in ca-bundle.crt
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: ca-certificates (show other bugs)
Version: unstable
Hardware: all Linux
: P3 critical
Assignee: Alexey Gladkov
QA Contact: qa-sisyphus
URL: http://www.imperialviolet.org/2012/01...
Keywords: security
Depends on:
Blocks:
 
Reported: 2012-02-07 23:14 MSK by Sergey Vlasov
Modified: 2015-08-16 16:42 MSK (History)
6 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Sergey Vlasov 2012-02-07 23:14:47 MSK 
В certdata.txt из Mozilla встречаются сертификаты с явным запретом доверия к ним (например, сертификаты DigiNotar). Текущая версия скрипта ca-bundle.pl не проверяет флаги доверия, в результате в ca-bundle.crt попадают и те сертификаты, которым нельзя доверять.

https://github.com/agl/extract-nss-root-certs - якобы правильный способ получения списка сертификатов в формате PEM, но, к сожалению, программа там написана на Go.
Comment 1 Repository Robot 2012-02-08 02:53:03 MSK 
ca-certificates-2012.01.17-alt1 -> sisyphus:

* Wed Feb 08 2012 Dmitry V. Levin <ldv@altlinux> 2012.01.17-alt1
- mozilla/certdata.txt: updated to revision 1.81.
- Filtered out untrusted certs from mozilla bundle (closes: #26904).
Comment 2 Dmitry V. Levin 2012-02-08 02:54:57 MSK 
Да, ca-bundle.pl уже устарел.  Сейчас я взял вместо него
https://raw.github.com/bagder/curl/master/lib/mk-ca-bundle.pl
и допилил до нужд этого пакета.

Спасибо!