Czy jest za wcześnie, aby wypróbować LibreSSL? [Zamknięte]

9

W pewnym stopniu śledzę rozwój i ostatnią wersję LibreSSL i przypadkiem mam nowy serwer internetowy FreeBSD, który ostatnio konfiguruję dla moich osobistych / hobbystycznych projektów. Nadal jestem dość n00bish o sysadmin i ciężkich Uniksowych rzeczach.

Widzę, że teraz jest security/libresslport. Gdybym ja, zwykły sysadmin śmiertelnik, miałbym go zainstalować, czy byłbym w stanie skonfigurować Nginx do korzystania z niego bez większego stresu niż do korzystania z OpenSSL (ponieważ z powodzeniem konfigurowałem kilka razy w przeszłości)?

Co z innymi portami, które oczekują OpenSSL? Na przykład, kiedy przechodzę do konfiguracji databases/mariadb55-server, dostaję opcję używania OpenSSL, ale nie LibreSSL. Jeśli zainstaluję LibreSSL, czy jego biblioteki będą widoczne i używane jako OpenSSL, czy też muszę czekać na aktualizację portu MariaDB, aby wyraźnie obsługiwać LibreSSL?

Wydaje mi się, że szerszym pytaniem jest, jak wymienna jest LibreSSL z OpenSSL z perspektywy amatorskiego administratora w tym momencie? Czy powinienem się powstrzymywać, aż LibreSSL będzie szerzej stosowany i oczekiwany?

Garrett Albright
źródło
2
Pytałeś konkretnie o status LibreSSL na FreeBSD: Bob Beck, dyrektor fundacji OpenBSD i członek zespołu LibreSSL, napisał do podcastu BSDnow w tym tygodniu , aby podkreślić, że istnieją poważne problemy z rodzimym generatorem liczb losowych FreeBSD w libc, zobacz tutaj pełną wiadomość. Plotka głosi, że proponowana poprawka Teda Unangsta jest sprawdzana przez zespół bezpieczeństwa, ale wydaje się, że nic jeszcze nie poszło w drzewo. Strona główna LibreSSL ostrzega również przed tymi problemami.
damien

Odpowiedzi:

7

Czy masz pytanie, czy LibreSSL ma zastępować OpenSSL? Jeśli tak, to tak . Jest to wyraźnie zamiar wyrażony przez programistów. Jednym z punktów bieżącej wersji jest zapewnienie tego celu, pozwalając osobom odpowiedzialnym za pakiety binarne i repozytoria źródłowe przetestować go. Wciąż jest kilka problemów, ale większość z nich jest niewielka: oto dobry post na blogu o dość udanym eksperymencie LibreSSL na Gentoo autorstwa Hanno Boecka.

Z drugiej strony twoje pytanie można również interpretować jako „Czy produkcja LibreSSL jest gotowa”?

Odpowiedź brzmi: nie, nie jest . Obecnie nawet OpenBSD-current (gałąź programistyczna) nie łączy się domyślnie z LibreSSL ...

Należy się spodziewać, że o wiele więcej raportów o problemach, takich jak „ Kilka dni wcześniej”, widżet OpenSSL LibreSSL uznany za „niebezpieczny dla Linuksa” trafi na strony z wiadomościami technicznymi w ciągu następnych dni i tygodni. Problemy te z pewnością zostaną rozwiązane i rozwiązane w ciągu najbliższych kilku miesięcy. Pamiętaj, że widelec ma zaledwie trzy miesiące i jest ogromną i złożoną bazą kodu.

Nie wolno mi publikować więcej niż dwóch linków, ale Googling dość łatwo znajduje różne posty na blogach, raporty o problemach itp. Przeczytaj listy mailingowe twórców twojej dystrybucji, aby uzyskać rzetelne informacje z pierwszej ręki o stanie wydarzeń i nie kupuj zbyt wiele w całym aktualnie szumie.

Odejmij to, czego sobie życzysz, ale nie ufałbym zbytnio LibreSSL na tym wczesnym etapie procesu rozwoju, nie mówiąc już o wprowadzeniu go do produkcji.

użytkownik77648
źródło
1
Nie sądzę, że artykuł Ars jest naprawdę uczciwy, ponieważ zakłada pewne absurdalne okoliczności, i chociaż LibreSSL powinien zdecydowanie nadal działać w takich przypadkach, OpenSSL miał wiele przypadków złego zachowania w tego rodzaju bardzo specyficznych przypadkach. Biorąc to pod uwagę, twoje inne punkty są dobrze przyjęte - na razie pozostanę przy OpenSSL i ponownie zastanowię się nad dalszą drogą (może kiedyś, gdy OpenBSD się z nim wyda).
Garrett Albright,
3
Ta odpowiedź jest nieaktualna. OpenBSD korzysta z LibreSSL od wersji 5.6 wydanej 1 listopada 2014 r.
Evan Carroll
1

Z tego, co widzę, nie zmienili biblioteki i nazw binarnych. Więc każdy USE_OPENSSLustawiony port powinien również działać z libressl, jeśli zdefiniujesz WITH_OPENSSL_PORTw swoimmake.conf

Pakiety binarne nadal będą korzystać z openssl systemu podstawowego.

łukowaty
źródło