debian/README.Debian

   1 The Debian Package “ca-certificates”
   2 ----------------------------------
   3
   4 This package includes PEM files of CA certificates to allow SSL-based
   5 applications to check for the authenticity of SSL connections.
   6
   7 Please note that Debian can neither confirm nor deny whether the
   8 certificate authorities whose certificates are included in this package
   9 have in any way been audited for trustworthiness or RFC 3647 compliance.
  10 Full responsibility to assess them belongs to the local system
  11 administrator.
  12
  13 The CA certificates contained in this package are installed into
  14 “/usr/share/ca-certificates”.
  15
  16 The configuration file “/etc/ca-certificates.conf” is seeded with
  17 trust information through Debconf.  Just call “dpkg-reconfigure
  18 ca-certificates” to adjust the settings.
  19
  20 “update-ca-certificates” will then update “/etc/ssl/certs” which may be
  21 used by the web browsers in Debian.  It will also generate the hash
  22 symlinks and generate a single-file version in
  23 “/etc/ssl/certs/ca-certificates.crt”.
  24
  25 If you want to install local certificate authorities to be implicitly
  26 trusted, please put the certificate files as single files ending with
  27 “.crt“ into “/usr/local/share/ca-certificates” and re-run
  28 “update-ca-certificates”.  If you want to prepare a local package
  29 of your certificates, you should depend on “ca-certificates“, install
  30 the PEM files into “/usr/local/share/ca-certificates” as above and call
  31 “update-ca-certificates” in the package's “postinst“.
  32
  33 How certificates will be accepted into the ca-certificates package
  34 ------------------------------------------------------------------
  35
  36 **** Notice! ****
  37  Option 1, listed below, is deprecated.  Please, see Debian bug report
  38  #647848 for discussion on establishing a new Debian CA Certificate
  39  Policy for CA inclusion, maintenance, and enforcement in Debian
  40  ca-certificates.  Option 2, below, is the only current method.
  41  - http://bugs.debian.org/647848
  42 *****************
  43
  44  Option 1:
  45  - File a *GPG-signed* bug report against ca-certificates with
  46    *severity normal*.  The bug report must include an attached
  47    copy of the PEM certificates of the CA, a link to and a
  48    description of the CA, the licence of the CA certificate
  49    and signed fingerprint and/or hash values of the certificate.
  50  - Get two or three recommendations from other people to the
  51    bug report, GPG-signed (preferably from the strong set).
  52  - CA certificates will not be accepted if requested by only
  53    one person.
  54
  55  Option 2:
  56  - Get it included into Mozilla's trust store.
  57  - File a bug against ca-certificates stating this fact.
  58