stunnel i certyfikaty
Maciek Pasternacki
maciekp w japhy.fnord.org
Pią, 23 Kwi 2004, 17:16:50 CEST
On Prickle-Prickle, Discord 41, 3170 YOLD, Paweł Gołaszewski wrote:
>> że już nie wspomnę o mtab czy o ld.so.conf...
(ld.so.cache oczywiście)
>> Program korzystający z certyfikatu nie musi (nie powinien wręcz) na nim
>> sam operować,
>
> Oczywiście, że nie powinien.
> Jednak, zauważ, że aktualnie większość certyfikatów trzymamy w
> /var/lib/openssl/.../
> I jest to logiczne, bo są one produkowane przez openssl-a.
Nie jest logiczne, bo nie są produkowane przez openssl-a podczas jego
normalnej pracy i podczas tejże manipulowane przezeń. I nie da się
tego ni cholery przypasować do przeznaczenia /var opisanego w FHS.
>> więc do /var to się na pewno nie nadaje; jak nie w /etc (chociaż nadal
>> pozwolę sobie być przekonany, że to jest konfig -- tak by mi
>> przynajmniej wychodziło z FHS), to już prędzej pod /usr niż pod /var
>> (dane w /usr/share też są czasem zmieniane, klucza nie zmienia się co
>> tydzień).
>
> /usr nie za bardzo, bo to może być system plików RO.
/etc też, i o to właśnie chodzi. W /usr też czasem coś się
instaluje/upgraduje, obawiam się nawet, że nieco częściej niż zmienia
się klucz SSL identyfikujący serwer (patrz chociażby secfiksy).
Pozdrawiam,
--dżaf.
--
__ Maciek Pasternacki <maciekp w japhy.fnord.org> [ http://japhy.fnord.org/ ]
`| _ |_\ / { ...nie dam ci nic i ty nie dasz mi nic, mieszkamy na zupełnie
,|{-}|}| }\/ różnych drzewach, do moich drzwi nie pasuje mój klucz,
\/ |____/ a z naszych okien widać inne miasta i nieba... } ( Ścianka ) -><-
Więcej informacji o liście dyskusyjnej pld-devel-pl