TLS
Материал из ALT Linux Wiki
(Различия между версиями)
(Import from freesource.info) |
B.savelev (обсуждение | вклад) (→TLS/SSL policy) |
||
(6 промежуточных версий не показаны.) | |||
Строка 1: | Строка 1: | ||
- | + | {{DraftPolicy | |
- | {{ | + | |responsible=... |
+ | |discussion_link=... | ||
+ | |discussion_since=... | ||
+ | }} | ||
== TLS/SSL policy == | == TLS/SSL policy == | ||
- | # Существует ALT root CA, принадлежащий ООО (как и все остальные основные подписи и ключи по | + | # Существует ALT root CA, принадлежащий ООО (как и все остальные основные подписи и ключи по репозиториями и по проекту в целом). |
- | ## Сертификат имеет <tt>C=RU, O=ALT Linux Team, OU=ALT Certification Authority, CN=ALT Root Certification | + | ## Сертификат имеет: |
+ | ##: <tt>C=RU,<br />O=ALT Linux Team,<br />OU=ALT Certification Authority,<br />CN=ALT Root Certification,<br />E=ca-root@altlinux.org</tt> | ||
## Срок действия CA устанавливается в 10 лет. | ## Срок действия CA устанавливается в 10 лет. | ||
## Его поддержанием, регенерацией, выписыванием сертификатов занимается security@ | ## Его поддержанием, регенерацией, выписыванием сертификатов занимается security@ | ||
Строка 12: | Строка 16: | ||
# Все https-серверы и xmpp-серверы ALT (как минимум, перечисленные в [http://lists.altlinux.ru/pipermail/sisyphus/2007-January/091974.html gory details в первом письме]) используют сертификаты, выписанные этим ALT root CA. | # Все https-серверы и xmpp-серверы ALT (как минимум, перечисленные в [http://lists.altlinux.ru/pipermail/sisyphus/2007-January/091974.html gory details в первом письме]) используют сертификаты, выписанные этим ALT root CA. | ||
## Сертификаты должны иметь корректно установленные, в том числе, например, правильный CN. | ## Сертификаты должны иметь корректно установленные, в том числе, например, правильный CN. | ||
- | ## | + | ## Так как есть, как минимум, 3 домена (altlinux.org, altlinux.ru, altlinux.com), на каждый сервис нужно выписывать 3 сертификата. |
- | ## Там, где https объективно не | + | ## Там, где https объективно не нужен — его вообще быть не должно, соответствующий порт (443) закрыт. |
# Все члены команды ALT имеют право попросить заверенные этим CA сертификаты в любом количестве для своих личных нужд. Пункт 4 гарантирует, что такой сертификат, заверенный ALT, будет, как минимум, восприниматься всеми системами, работающими под управлением ALT Linux. | # Все члены команды ALT имеют право попросить заверенные этим CA сертификаты в любом количестве для своих личных нужд. Пункт 4 гарантирует, что такой сертификат, заверенный ALT, будет, как минимум, восприниматься всеми системами, работающими под управлением ALT Linux. | ||
## Сертификаты, подписанные этим CA, для третьих лиц и организаций, не являющихся членами команды ALT, распространяются ООО по своему усмотрению. | ## Сертификаты, подписанные этим CA, для третьих лиц и организаций, не являющихся членами команды ALT, распространяются ООО по своему усмотрению. | ||
- | # Все пакеты в Сизифе, которые могут использоваться в качестве клиентов для доступа к серверам к TLS/SSL и которые не используют обычные системные хранилища сертификатов, должны носить в | + | # Все пакеты в Сизифе, которые могут использоваться в качестве клиентов для доступа к серверам к TLS/SSL и которые не используют обычные системные хранилища сертификатов, должны носить в своём списке CA дополнительно ещё и ALT root CA, и, таким образом. |
- | ## Проверить работоспособность клиента в плане принятия сертификатов ALT можно на [https:// | + | ## Проверить работоспособность клиента в плане принятия сертификатов ALT можно на [https://bugzilla.altlinux.org/ https://bugzilla.altlinux.org/] и на xmpp://altlinux.org |
- | ## Несоответствие пакета пункту 4 настоящей | + | ## Несоответствие пакета пункту 4 настоящей policy — block bug. |
# Все пакеты в Сизифе, которые могут использоваться как серверы с TLS/SSL должны иметь упоминание (например, в README.alt) о наличии ALT root CA, о пункте 3 и давать ссылку на настоящую policy. | # Все пакеты в Сизифе, которые могут использоваться как серверы с TLS/SSL должны иметь упоминание (например, в README.alt) о наличии ALT root CA, о пункте 3 и давать ссылку на настоящую policy. | ||
- | ## Примерный текст упоминания (приветствуется изменение его для лучшего отражения специфики | + | ## Примерный текст упоминания (приветствуется изменение его для лучшего отражения специфики пакета — http, xmpp, imap-сервер и т. п.): |
+ | ##: <blockquote>Данный пакет позволяет организовать сервер, соединения с которым будут защищены с помощью TLS/SSL. Для этого нужен сертификат сервера. Сертификат может быть самоподписанным, в таком случае он будет восприниматься только ограниченным рядом систем, на каждую такую систему его придётся переносить вручную. Для того, чтобы его принимало автоматически больше систем, нужен сертификат, подписанный какой-то известной большинству систем организацией — Certificate Authority.</blockquote> | ||
+ | ##: <blockquote>В ALT Linux есть собственная Certificate Authority. В соответствии с TLS policy, члены команды ALT могут получать неограниченное число подписанных ей сертификатов, которые, таким образом, будут корректно приниматься на всех системах ALT Linux.</blockquote> | ||
+ | ##: <blockquote>Подробности получения сертификатов можно узнать на <nowiki>https://tls.altlinux.org/</nowiki></blockquote> | ||
+ | ##: <blockquote>ALT Linux TLS policy доступна на <nowiki>http://<URL где будет лежать policy></nowiki></blockquote> | ||
+ | ## Отсутствия такого текста — minor bug. | ||
- | + | [[Категория:TLS]] | |
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + |
Текущая версия на 16:20, 12 февраля 2010
TLS/SSL policy
- Существует ALT root CA, принадлежащий ООО (как и все остальные основные подписи и ключи по репозиториями и по проекту в целом).
- Сертификат имеет:
- C=RU,
O=ALT Linux Team,
OU=ALT Certification Authority,
CN=ALT Root Certification,
E=ca-root@altlinux.org
- C=RU,
- Срок действия CA устанавливается в 10 лет.
- Его поддержанием, регенерацией, выписыванием сертификатов занимается security@
- Регенерация делается за год до окончания срока действия очередного основного CA: генерируется новый сертификат и в этот период все носят 2 сертификата. Старый сертификат выкидывается отовсюду по возможности, как его срок действия совсем заканчивается.
- Сертификат всегда доступен для скачивания здесь, а также в пакете ca-certificates.
- Сертификат имеет:
- Все https-серверы и xmpp-серверы ALT (как минимум, перечисленные в gory details в первом письме) используют сертификаты, выписанные этим ALT root CA.
- Сертификаты должны иметь корректно установленные, в том числе, например, правильный CN.
- Так как есть, как минимум, 3 домена (altlinux.org, altlinux.ru, altlinux.com), на каждый сервис нужно выписывать 3 сертификата.
- Там, где https объективно не нужен — его вообще быть не должно, соответствующий порт (443) закрыт.
- Все члены команды ALT имеют право попросить заверенные этим CA сертификаты в любом количестве для своих личных нужд. Пункт 4 гарантирует, что такой сертификат, заверенный ALT, будет, как минимум, восприниматься всеми системами, работающими под управлением ALT Linux.
- Сертификаты, подписанные этим CA, для третьих лиц и организаций, не являющихся членами команды ALT, распространяются ООО по своему усмотрению.
- Все пакеты в Сизифе, которые могут использоваться в качестве клиентов для доступа к серверам к TLS/SSL и которые не используют обычные системные хранилища сертификатов, должны носить в своём списке CA дополнительно ещё и ALT root CA, и, таким образом.
- Проверить работоспособность клиента в плане принятия сертификатов ALT можно на https://bugzilla.altlinux.org/ и на xmpp://altlinux.org
- Несоответствие пакета пункту 4 настоящей policy — block bug.
- Все пакеты в Сизифе, которые могут использоваться как серверы с TLS/SSL должны иметь упоминание (например, в README.alt) о наличии ALT root CA, о пункте 3 и давать ссылку на настоящую policy.
- Примерный текст упоминания (приветствуется изменение его для лучшего отражения специфики пакета — http, xmpp, imap-сервер и т. п.):
-
Данный пакет позволяет организовать сервер, соединения с которым будут защищены с помощью TLS/SSL. Для этого нужен сертификат сервера. Сертификат может быть самоподписанным, в таком случае он будет восприниматься только ограниченным рядом систем, на каждую такую систему его придётся переносить вручную. Для того, чтобы его принимало автоматически больше систем, нужен сертификат, подписанный какой-то известной большинству систем организацией — Certificate Authority.
-
В ALT Linux есть собственная Certificate Authority. В соответствии с TLS policy, члены команды ALT могут получать неограниченное число подписанных ей сертификатов, которые, таким образом, будут корректно приниматься на всех системах ALT Linux.
-
Подробности получения сертификатов можно узнать на https://tls.altlinux.org/
-
ALT Linux TLS policy доступна на http://<URL где будет лежать policy>
-
- Отсутствия такого текста — minor bug.
- Примерный текст упоминания (приветствуется изменение его для лучшего отражения специфики пакета — http, xmpp, imap-сервер и т. п.):