Bug 33895

Summary: При установке или обновлении всегда добавляется один и тот же сертификат.
Product: Sisyphus Reporter: nbr <nbr>
Component: mono-coreAssignee: Anton Farygin <rider>
Status: CLOSED WORKSFORME QA Contact: qa-sisyphus
Severity: minor    
Priority: P3 CC: darktemplaralt, glebfm, lakostis, ldv, rider
Version: unstable   
Hardware: all   
OS: Linux   

Description nbr 2017-09-14 18:52:37 MSK 
mono-core-5.0.1.1-alt6.S1         ######################################################################## [  0%]
Mono Certificate Store Sync - version 5.0.1.0
Populate Mono certificate store from a concatenated list of certificates.
Copyright 2002, 2003 Motus Technologies. Copyright 2004-2008 Novell. BSD licensed.

Importing into legacy system store:
I already trust 156, your new list has 156
Import process completed.

Importing into BTLS system store:
I already trust 155, your new list has 156
Certificate added: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Certification Authority
1 new root certificates were added to your trust store.
Import process completed.
Comment 1 Aleksei Nikiforov 2017-09-15 11:04:34 MSK 
При установке mono для правильной работы ssl в mono требуется импортировать сертификаты в хранилище mono.

Сейчас делается это так:
%post core
cert-sync %_sysconfdir/pki/tls/certs/ca-bundle.crt

Т.е. все сертификаты берутся из системы, из файла /etc/pki/tls/certs/ca-bundle.crt.

Этот файл принадлежит пакету ca-certificates. Если сертификат не безопасный, то что он делает в этом файле?
Comment 2 Aleksei Nikiforov 2017-09-18 11:42:47 MSK 
Так как сертификаты импортируются из файла, принадлежащего пакету ca-certificates,  то предлагаю разобраться с этими сертификатами в пакете ca-certificates.
Comment 3 Dmitry V. Levin 2017-09-18 12:57:59 MSK 
Не надо перевешивать на ca-certificates, пожалуйста.
Вопрос в том, почему сертификаты импортируются, правильно ли они импортируются, и своевременно ли это происходит.
Comment 4 Anton Farygin 2017-09-18 14:06:38 MSK 
Дима, у тебя есть какие-то конкретные претензии к процессу импорта сертификатов в пакете mono-core ?

У mono своё хранилище сертификатов, и апстрим написал утилиту для синхронизации этого хранилища с системным.
Comment 5 Aleksei Nikiforov 2017-09-18 14:34:11 MSK 
Я нашёл апстримный баг, из-за которого некоторые ssl-сертификаты могут не импортироваться надлежащим образом. Из-за этого при каждом импорте тех же самых сертификатов могут постоянно импортироваться "новые" сертификаты:

https://bugzilla.xamarin.com/show_bug.cgi?id=30902
Comment 6 Aleksei Nikiforov 2019-01-24 17:56:55 MSK 
На текущий момент проблема более не воспроизводится у меня. В случае воспроизведения проблемы просьба переоткрыть.