Re: openssl 1.0.0c в lenny

To: debian-russian@lists.debian.org
Subject: Re: openssl 1.0.0c в lenny
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Mon, 24 Jan 2011 15:30:08 +0300
Message-id: <[🔎] 20110124123008.GA21111@wagner.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] AANLkTimy9TiKrmnhYA7vskJ78qn4SrspM-y0E6nbKoBF@mail.gmail.com>
References: <[🔎] AANLkTimy9TiKrmnhYA7vskJ78qn4SrspM-y0E6nbKoBF@mail.gmail.com>

On 2011.01.24 at 16:49:44 +0500, Stanislav Vlasov wrote:

> Господа, что точно сломается, если я поставлю на рабочую станцию с
> lenny пересобранный из experimental openssl 1.0.0c и будет ли работать
> ГОСТ?

Сломается, вероятно, пакет ca-certificates. Потому что у 1.0.0 и 0.9.8
несовместимые форматы хэширования сертификатов. У 0.9.8 там первые 4
байта MD5, а у 1.0.0 - SHA1. Так что вероятно, программы собранные со
старой libssl не смогут выстраивать цепочки доверия к корневым
сертификатам, которые помещались в системное хранилище с помощью новой
утилиты openssl.

> Интересует то, что использует пользователь (gnome, ooo, ice*) + apt + sshd.
> На первый взгляд ничего, но тем не менее...

Все, что собрано с openssl 0.9.8 будет продолжать работать с openssl
0.9.8. Пакеты libssl0.9.8 и libssl1.0.0 прекрасно уживутся рядом.

А что касается того, будет ли работать ГОСТ (в утилите openssl) то надо
смотреть, как собрали. Вот в 12-федоре и 6-м RHEL ухитрились собрать
так, что не работает.

Посредством простой пересборки пакета ГОСТ начнет работать только в
PostgreSQL (и клиенте и сервере). Уже для stunnel 4 придется опции
configure шевелить. А все остальное - вообще патчить.

Reply to:

References:
- openssl 1.0.0c в lenny
  - From: Stanislav Vlasov <stanislav.v.v@gmail.com>

Prev by Date: openssl 1.0.0c в lenny
Next by Date: Re: raid5,lvm,grub2 - как
Previous by thread: openssl 1.0.0c в lenny
Next by thread: Squeeze. Проблема с VT8623 [Apollo CLE266] videocard (CastleRock graphics)
Index(es):
- Date
- Thread