Summary: | симлинк /etc/ssl/certs/ca-certificates.crt | ||
---|---|---|---|
Product: | Sisyphus | Reporter: | Anton Farygin <rider> |
Component: | ca-trust | Assignee: | Mikhail Efremov <sem> |
Status: | CLOSED FIXED | QA Contact: | qa-sisyphus |
Severity: | normal | ||
Priority: | P5 | CC: | glebfm, lav, ldv, rider, sem |
Version: | unstable | ||
Hardware: | x86_64 | ||
OS: | Linux |
Description
Anton Farygin
2022-10-16 18:16:39 MSK
Кстати, RH тоже поддерживает этот стандарт: https://bugzilla.redhat.com/show_bug.cgi?id=1053882 не стандарт, конечно - нет стандарта для этого каталога. Это из Debian пришло. У нас даже каталога такого нет, не то что симлинка. Там все несколько сложнее, в той баге обсуждается вообще поддержка "Hybrid hash directory with bundle file for Debian compatibility" и в итоге они таки эту поддержку сделали: # /etc/ssl is provided in a Debian compatible form for (bad) code that # expects it: https://bugzilla.redhat.com/show_bug.cgi?id=1053882 ln -s %{catrustdir}/extracted/pem/directory-hash \ $RPM_BUILD_ROOT%{_sysconfdir}/ssl/certs И этот каталог directory-hash генерится с помощью p11-kit. Т.е. там не просто один только симлинк на бандл. Вопрос надо ли нам такое? В принципе у нас можно это все отдельным подпакетом ca-trust сделать и генерится это все будет только если его установить. Ну или можно действительно только симлинк на бандл в /etc/ssl/certs/ положить. Но у меня есть опасения, что какой-то софт может, обнаружив наличие /etc/ssl/certs/, решить что там полноценный directory-hash как в Дебиане. Т.е. не принесет ли наличие этого пустого (с однм только бандлом) каталога дополнительных проблем. Наверное лучше все-таки делать полноценную поддержку, как в Федоре. Лучше, конечно, полноценную поддержку и не отдельным пакетом, а то её опять все забудут поставить. (In reply to Anton Farygin from comment #5) > Лучше, конечно, полноценную поддержку и не отдельным пакетом, а то её опять > все забудут поставить. Вот это как раз мне кажется прекрасно, у тех, кому это все не нужно - этого не будет. Это же нужно только для поддержки какой-то проприетарщины, заточенной на Debian. Впрочем, в дистрибутивы можно добавить. тут скорее вопрос в том, кому она может помешать в системе, в которой нет проприетарщины ? Ну, речь идет уже не просто о симлинке, а генерате в этом каталоге, который будет заново генерится при каждом обновлении сертификатов. Причем в подавляющем большинстве случаев этот каталог не нужен. Мне лично не хотелось бы, чтобы у меня был этот совершенно не нужный мне мусор в системе. У нас вся эта генерация сертификатов специально сделана отдельными хуками, именно чтобы можно было выделить в отдельный пакет. Так уже с сертификатами для java сделано, например, отдельный подпакет ca-trust-java нужен только тем, у кого есть java. ca-trust-0.1.4-alt1 -> sisyphus: Wed Oct 19 2022 Mikhail Efremov <sem@altlinux> 0.1.4-alt1 - Added directory-hash subpackage (closes: #44052). спасибо! а в p10 есть задание ? #308691 AWAITING #1 [test-only] p10/sem ca-trust.git=0.1.4-alt1 |