W pewnym stopniu śledzę rozwój i ostatnią wersję LibreSSL i przypadkiem mam nowy serwer internetowy FreeBSD, który ostatnio konfiguruję dla moich osobistych / hobbystycznych projektów. Nadal jestem dość n00bish o sysadmin i ciężkich Uniksowych rzeczach.
Widzę, że teraz jest security/libressl
port. Gdybym ja, zwykły sysadmin śmiertelnik, miałbym go zainstalować, czy byłbym w stanie skonfigurować Nginx do korzystania z niego bez większego stresu niż do korzystania z OpenSSL (ponieważ z powodzeniem konfigurowałem kilka razy w przeszłości)?
Co z innymi portami, które oczekują OpenSSL? Na przykład, kiedy przechodzę do konfiguracji databases/mariadb55-server
, dostaję opcję używania OpenSSL, ale nie LibreSSL. Jeśli zainstaluję LibreSSL, czy jego biblioteki będą widoczne i używane jako OpenSSL, czy też muszę czekać na aktualizację portu MariaDB, aby wyraźnie obsługiwać LibreSSL?
Wydaje mi się, że szerszym pytaniem jest, jak wymienna jest LibreSSL z OpenSSL z perspektywy amatorskiego administratora w tym momencie? Czy powinienem się powstrzymywać, aż LibreSSL będzie szerzej stosowany i oczekiwany?
Odpowiedzi:
Czy masz pytanie, czy LibreSSL ma zastępować OpenSSL? Jeśli tak, to tak . Jest to wyraźnie zamiar wyrażony przez programistów. Jednym z punktów bieżącej wersji jest zapewnienie tego celu, pozwalając osobom odpowiedzialnym za pakiety binarne i repozytoria źródłowe przetestować go. Wciąż jest kilka problemów, ale większość z nich jest niewielka: oto dobry post na blogu o dość udanym eksperymencie LibreSSL na Gentoo autorstwa Hanno Boecka.
Z drugiej strony twoje pytanie można również interpretować jako „Czy produkcja LibreSSL jest gotowa”?
Odpowiedź brzmi: nie, nie jest . Obecnie nawet OpenBSD-current (gałąź programistyczna) nie łączy się domyślnie z LibreSSL ...
Należy się spodziewać, że o wiele więcej raportów o problemach, takich jak „ Kilka dni wcześniej”, widżet OpenSSL LibreSSL uznany za „niebezpieczny dla Linuksa” trafi na strony z wiadomościami technicznymi w ciągu następnych dni i tygodni. Problemy te z pewnością zostaną rozwiązane i rozwiązane w ciągu najbliższych kilku miesięcy. Pamiętaj, że widelec ma zaledwie trzy miesiące i jest ogromną i złożoną bazą kodu.
Nie wolno mi publikować więcej niż dwóch linków, ale Googling dość łatwo znajduje różne posty na blogach, raporty o problemach itp. Przeczytaj listy mailingowe twórców twojej dystrybucji, aby uzyskać rzetelne informacje z pierwszej ręki o stanie wydarzeń i nie kupuj zbyt wiele w całym aktualnie szumie.
Odejmij to, czego sobie życzysz, ale nie ufałbym zbytnio LibreSSL na tym wczesnym etapie procesu rozwoju, nie mówiąc już o wprowadzeniu go do produkcji.
źródło
Z tego, co widzę, nie zmienili biblioteki i nazw binarnych. Więc każdy
USE_OPENSSL
ustawiony port powinien również działać z libressl, jeśli zdefiniujeszWITH_OPENSSL_PORT
w swoimmake.conf
Pakiety binarne nadal będą korzystać z openssl systemu podstawowego.
źródło