44052 2022-10-16 18:16:39 +0300 симлинк /etc/ssl/certs/ca-certificates.crt 2023-05-10 18:44:07 +0300 1 1 4 Development Sisyphus ca-trust unstable x86_64 Linux CLOSED FIXED P5 normal --- 1 rider sem glebfm lav ldv rider sem qa-sisyphus oldest_to_newest 216005 0 rider 2022-10-16 18:16:39 +0300 некоторые проприетарные приложения, в частности некоторые игры из Steam для корректной работы ssl ожидают наличие /etc/ssl/certs/ca-certificates.crt В принципе достаточно симлинка на /etc/pki/tls/certs/ca-bundle.trust.crt Для того, что бы не плодить лишних пакетов, предлагаю положить этот симлинк по умолчанию в пакет ca-trust. Это нужно, в том числе, и для p10. 216006 1 rider 2022-10-16 18:19:17 +0300 Кстати, RH тоже поддерживает этот стандарт: https://bugzilla.redhat.com/show_bug.cgi?id=1053882 216007 2 rider 2022-10-16 18:21:00 +0300 не стандарт, конечно - нет стандарта для этого каталога. Это из Debian пришло. 216112 3 ldv 2022-10-18 19:29:24 +0300 У нас даже каталога такого нет, не то что симлинка. 216113 4 sem 2022-10-18 19:43:17 +0300 Там все несколько сложнее, в той баге обсуждается вообще поддержка "Hybrid hash directory with bundle file for Debian compatibility" и в итоге они таки эту поддержку сделали: # /etc/ssl is provided in a Debian compatible form for (bad) code that # expects it: https://bugzilla.redhat.com/show_bug.cgi?id=1053882 ln -s %{catrustdir}/extracted/pem/directory-hash \ $RPM_BUILD_ROOT%{_sysconfdir}/ssl/certs И этот каталог directory-hash генерится с помощью p11-kit. Т.е. там не просто один только симлинк на бандл. Вопрос надо ли нам такое? В принципе у нас можно это все отдельным подпакетом ca-trust сделать и генерится это все будет только если его установить. Ну или можно действительно только симлинк на бандл в /etc/ssl/certs/ положить. Но у меня есть опасения, что какой-то софт может, обнаружив наличие /etc/ssl/certs/, решить что там полноценный directory-hash как в Дебиане. Т.е. не принесет ли наличие этого пустого (с однм только бандлом) каталога дополнительных проблем. Наверное лучше все-таки делать полноценную поддержку, как в Федоре. 216114 5 rider 2022-10-18 20:10:12 +0300 Лучше, конечно, полноценную поддержку и не отдельным пакетом, а то её опять все забудут поставить. 216117 6 sem 2022-10-18 22:30:46 +0300 (In reply to Anton Farygin from comment #5) > Лучше, конечно, полноценную поддержку и не отдельным пакетом, а то её опять > все забудут поставить. Вот это как раз мне кажется прекрасно, у тех, кому это все не нужно - этого не будет. Это же нужно только для поддержки какой-то проприетарщины, заточенной на Debian. Впрочем, в дистрибутивы можно добавить. 216123 7 rider 2022-10-19 08:41:10 +0300 тут скорее вопрос в том, кому она может помешать в системе, в которой нет проприетарщины ? 216162 8 sem 2022-10-19 12:40:41 +0300 Ну, речь идет уже не просто о симлинке, а генерате в этом каталоге, который будет заново генерится при каждом обновлении сертификатов. Причем в подавляющем большинстве случаев этот каталог не нужен. Мне лично не хотелось бы, чтобы у меня был этот совершенно не нужный мне мусор в системе. У нас вся эта генерация сертификатов специально сделана отдельными хуками, именно чтобы можно было выделить в отдельный пакет. Так уже с сертификатами для java сделано, например, отдельный подпакет ca-trust-java нужен только тем, у кого есть java. 216185 9 repository-robot 2022-10-19 15:54:41 +0300 ca-trust-0.1.4-alt1 -> sisyphus: Wed Oct 19 2022 Mikhail Efremov <sem@altlinux> 0.1.4-alt1 - Added directory-hash subpackage (closes: #44052). 216205 10 rider 2022-10-19 17:52:02 +0300 спасибо! а в p10 есть задание ? 216206 11 sem 2022-10-19 17:58:40 +0300 #308691 AWAITING #1 [test-only] p10/sem ca-trust.git=0.1.4-alt1