TLS

Материал из ALT Linux Wiki
Stub.png
Черновик политики Sisyphus
Автор(ы) — ...
[... Обсуждение в devel@]
Обсуждается с ...


TLS/SSL policy

  1. Существует ALT root CA, принадлежащий ООО (как и все остальные основные подписи и ключи по репозиториями и по проекту в целом).
    1. Сертификат имеет:
      C=RU,
      O=ALT Linux Team,
      OU=ALT Certification Authority,
      CN=ALT Root Certification,
      E=ca-root@altlinux.org
    2. Срок действия CA устанавливается в 10 лет.
    3. Его поддержанием, регенерацией, выписыванием сертификатов занимается security@
    4. Регенерация делается за год до окончания срока действия очередного основного CA: генерируется новый сертификат и в этот период все носят 2 сертификата. Старый сертификат выкидывается отовсюду по возможности, как его срок действия совсем заканчивается.
    5. Сертификат всегда доступен для скачивания здесь, а также в пакете ca-certificates.
  2. Все https-серверы и xmpp-серверы ALT (как минимум, перечисленные в gory details в первом письме) используют сертификаты, выписанные этим ALT root CA.
    1. Сертификаты должны иметь корректно установленные, в том числе, например, правильный CN.
    2. Так как есть, как минимум, 3 домена (altlinux.org, altlinux.ru, altlinux.com), на каждый сервис нужно выписывать 3 сертификата.
    3. Там, где https объективно не нужен — его вообще быть не должно, соответствующий порт (443) закрыт.
  3. Все члены команды ALT имеют право попросить заверенные этим CA сертификаты в любом количестве для своих личных нужд. Пункт 4 гарантирует, что такой сертификат, заверенный ALT, будет, как минимум, восприниматься всеми системами, работающими под управлением ALT Linux.
    1. Сертификаты, подписанные этим CA, для третьих лиц и организаций, не являющихся членами команды ALT, распространяются ООО по своему усмотрению.
  4. Все пакеты в Сизифе, которые могут использоваться в качестве клиентов для доступа к серверам к TLS/SSL и которые не используют обычные системные хранилища сертификатов, должны носить в своём списке CA дополнительно ещё и ALT root CA, и, таким образом.
    1. Проверить работоспособность клиента в плане принятия сертификатов ALT можно на https://bugzilla.altlinux.org/ и на xmpp://altlinux.org
    2. Несоответствие пакета пункту 4 настоящей policy — block bug.
  5. Все пакеты в Сизифе, которые могут использоваться как серверы с TLS/SSL должны иметь упоминание (например, в README.alt) о наличии ALT root CA, о пункте 3 и давать ссылку на настоящую policy.
    1. Примерный текст упоминания (приветствуется изменение его для лучшего отражения специфики пакета — http, xmpp, imap-сервер и т. п.):

      Данный пакет позволяет организовать сервер, соединения с которым будут защищены с помощью TLS/SSL. Для этого нужен сертификат сервера. Сертификат может быть самоподписанным, в таком случае он будет восприниматься только ограниченным рядом систем, на каждую такую систему его придётся переносить вручную. Для того, чтобы его принимало автоматически больше систем, нужен сертификат, подписанный какой-то известной большинству систем организацией — Certificate Authority.

      В ALT Linux есть собственная Certificate Authority. В соответствии с TLS policy, члены команды ALT могут получать неограниченное число подписанных ей сертификатов, которые, таким образом, будут корректно приниматься на всех системах ALT Linux.

      Подробности получения сертификатов можно узнать на https://tls.altlinux.org/

      ALT Linux TLS policy доступна на http://<URL где будет лежать policy>

    2. Отсутствия такого текста — minor bug.