некоторые проприетарные приложения, в частности некоторые игры из Steam для корректной работы ssl ожидают наличие /etc/ssl/certs/ca-certificates.crt В принципе достаточно симлинка на /etc/pki/tls/certs/ca-bundle.trust.crt Для того, что бы не плодить лишних пакетов, предлагаю положить этот симлинк по умолчанию в пакет ca-trust. Это нужно, в том числе, и для p10.
Кстати, RH тоже поддерживает этот стандарт: https://bugzilla.redhat.com/show_bug.cgi?id=1053882
не стандарт, конечно - нет стандарта для этого каталога. Это из Debian пришло.
У нас даже каталога такого нет, не то что симлинка.
Там все несколько сложнее, в той баге обсуждается вообще поддержка "Hybrid hash directory with bundle file for Debian compatibility" и в итоге они таки эту поддержку сделали: # /etc/ssl is provided in a Debian compatible form for (bad) code that # expects it: https://bugzilla.redhat.com/show_bug.cgi?id=1053882 ln -s %{catrustdir}/extracted/pem/directory-hash \ $RPM_BUILD_ROOT%{_sysconfdir}/ssl/certs И этот каталог directory-hash генерится с помощью p11-kit. Т.е. там не просто один только симлинк на бандл. Вопрос надо ли нам такое? В принципе у нас можно это все отдельным подпакетом ca-trust сделать и генерится это все будет только если его установить. Ну или можно действительно только симлинк на бандл в /etc/ssl/certs/ положить. Но у меня есть опасения, что какой-то софт может, обнаружив наличие /etc/ssl/certs/, решить что там полноценный directory-hash как в Дебиане. Т.е. не принесет ли наличие этого пустого (с однм только бандлом) каталога дополнительных проблем. Наверное лучше все-таки делать полноценную поддержку, как в Федоре.
Лучше, конечно, полноценную поддержку и не отдельным пакетом, а то её опять все забудут поставить.
(In reply to Anton Farygin from comment #5) > Лучше, конечно, полноценную поддержку и не отдельным пакетом, а то её опять > все забудут поставить. Вот это как раз мне кажется прекрасно, у тех, кому это все не нужно - этого не будет. Это же нужно только для поддержки какой-то проприетарщины, заточенной на Debian. Впрочем, в дистрибутивы можно добавить.
тут скорее вопрос в том, кому она может помешать в системе, в которой нет проприетарщины ?
Ну, речь идет уже не просто о симлинке, а генерате в этом каталоге, который будет заново генерится при каждом обновлении сертификатов. Причем в подавляющем большинстве случаев этот каталог не нужен. Мне лично не хотелось бы, чтобы у меня был этот совершенно не нужный мне мусор в системе. У нас вся эта генерация сертификатов специально сделана отдельными хуками, именно чтобы можно было выделить в отдельный пакет. Так уже с сертификатами для java сделано, например, отдельный подпакет ca-trust-java нужен только тем, у кого есть java.
ca-trust-0.1.4-alt1 -> sisyphus: Wed Oct 19 2022 Mikhail Efremov <sem@altlinux> 0.1.4-alt1 - Added directory-hash subpackage (closes: #44052).
спасибо! а в p10 есть задание ?
#308691 AWAITING #1 [test-only] p10/sem ca-trust.git=0.1.4-alt1
