Bug 26904

Summary: distrusted certificates are included in ca-bundle.crt
Product: Sisyphus Reporter: Sergey Vlasov <vsu>
Component: ca-certificatesAssignee: Alexey Gladkov <legion>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: critical    
Priority: P3 CC: egori, lakostis, lav, ldv, legion, rauty, sem
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://www.imperialviolet.org/2012/01/30/mozillaroots.html

Description Sergey Vlasov 2012-02-07 23:14:47 MSK 
В certdata.txt из Mozilla встречаются сертификаты с явным запретом доверия к ним (например, сертификаты DigiNotar). Текущая версия скрипта ca-bundle.pl не проверяет флаги доверия, в результате в ca-bundle.crt попадают и те сертификаты, которым нельзя доверять.

https://github.com/agl/extract-nss-root-certs - якобы правильный способ получения списка сертификатов в формате PEM, но, к сожалению, программа там написана на Go.
Comment 1 Repository Robot 2012-02-08 02:53:03 MSK 
ca-certificates-2012.01.17-alt1 -> sisyphus:

* Wed Feb 08 2012 Dmitry V. Levin <ldv@altlinux> 2012.01.17-alt1
- mozilla/certdata.txt: updated to revision 1.81.
- Filtered out untrusted certs from mozilla bundle (closes: #26904).
Comment 2 Dmitry V. Levin 2012-02-08 02:54:57 MSK 
Да, ca-bundle.pl уже устарел.  Сейчас я взял вместо него
https://raw.github.com/bagder/curl/master/lib/mk-ca-bundle.pl
и допилил до нужд этого пакета.

Спасибо!