
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:"Segoe UI Emoji";


        panose-1:2 11 5 2 4 2 4 2 2 3;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-margin-top-alt:auto;


        margin-right:0cm;


        mso-margin-bottom-alt:auto;


        margin-left:0cm;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


span.EmailStyle18


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri",sans-serif;


        mso-fareast-language:EN-US;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:70.85pt 70.85pt 2.0cm 70.85pt;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="DE" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Hi Martijn,<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">as far as I understand the AdoptOpenJDK infrastructure, you have created a cacerts file from the Mozilla certificates which you are using in the AdoptOpenJDK 8 build via configure option


 [1]. Is that correct or am I missing something?<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">I was planning to bring the cacerts file from jdk/jdk down to 8 with the associated tests. Your build setup should still work then, I guess.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">However, if somebody from AdoptOpenJDK wants to do the work of bringing it into OpenJDK8 updates, feel free. It’s not the very first thing on my todo list


</span><span lang="EN-US" style="font-family:"Segoe UI Emoji",sans-serif;mso-fareast-language:EN-US">😊</span><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">Thanks & Best regards<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">Christoph<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">[1] <a href="https://github.com/AdoptOpenJDK/openjdk-build/tree/master/security">


https://github.com/AdoptOpenJDK/openjdk-build/tree/master/security</a><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<div style="border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt">


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> Martijn Verburg <martijnverburg@gmail.com>


<br>


<b>Sent:</b> Freitag, 22. März 2019 20:38<br>


<b>To:</b> Sean Mullan <sean.mullan@oracle.com><br>


<b>Cc:</b> Langer, Christoph <christoph.langer@sap.com>; jdk8u-dev@openjdk.java.net; OpenJDK Dev list <security-dev@openjdk.java.net><br>


<b>Subject:</b> Re: [8u] Is it possible to bring root certificates to OpenJDK 8 [JEP319] ?<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">FWIW - we backported these in the AdoptOpenJDK 8 builds and could provide a patch to upstream that change.<o:p></o:p></p>


<div>


<p class="MsoNormal"><br clear="all">


<o:p></o:p></p>


<div>


<div>


<p class="MsoNormal">Cheers,<br>


Martijn<o:p></o:p></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div>


<p class="MsoNormal">On Fri, 22 Mar 2019 at 19:35, Sean Mullan <<a href="mailto:sean.mullan@oracle.com">sean.mullan@oracle.com</a>> wrote:<o:p></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">


<p class="MsoNormal">Hi Christoph,<br>


<br>


On 3/21/19 6:20 AM, Langer, Christoph wrote:<br>


> Hi,<br>


> <br>


> I recently came across a scenario where I wanted to use a self-built OpenJDK 8 in a maven build and it could not download artefacts due to missing root certificates. I helped myself by replacing the cacerts with some other version from a later OpenJDK and


 came over the issue. However, I’ve asked myself whether it was possible/worthwhile to get the root certificates also into an OpenJDK 8 update?<br>


> <br>


> With JEP 319 [0], Oracle has open-sourced the root certificates into OpenJDK. The initial check-in was done for jdk10, via bug JDK-8189131 [1]. After that, several commits have been made to update the set of root certificates and improve the tests.<br>


> <br>


> Now my questions are: Is it legally possible to bring these root certificates also into OpenJDK 8? Since it is a JEP, can the “feature” be added to OpenJDK 8 via an update release? And, last but not least, would there be interest in the community for that


 at all?<br>


<br>


I can answer the first two questions. I talked to one of our Product <br>


Managers who was involved with this JEP and he said that we have <br>


permission to release these certificates as open source at OpenJDK (much <br>


as Mozilla has roots in Firefox).  Therefore there should be no concerns <br>


using with OpenJDK 8 or other versions for that matter.  If you mean the <br>


jdk8u project specifically, you should check with the current <br>


maintainers for interest in this as I think they currently use other <br>


means for their builds.<br>


<br>


--Sean<br>


<br>


> <br>


> Just trying to start a discussion… <span style="font-family:"Segoe UI Emoji",sans-serif">


😊</span><br>


> <br>


> Best regards<br>


> Christoph<br>


> <br>


> [0] <a href="http://openjdk.java.net/jeps/319" target="_blank">http://openjdk.java.net/jeps/319</a><br>


> [1] <a href="https://bugs.openjdk.java.net/browse/JDK-8189131" target="_blank">


https://bugs.openjdk.java.net/browse/JDK-8189131</a><br>


> <o:p></o:p></p>


</blockquote>


</div>


</div>


</div>


</body>


</html>