É muito cedo para experimentar o LibreSSL? [fechadas]

9

Eu tenho seguido o desenvolvimento e recente lançamento do LibreSSL e coincidentemente eu tenho um novo servidor web do FreeBSD que eu tenho configurando para meus projetos pessoais / amadores recentemente. Eu ainda sou bastante nobre sobre sysadmin e coisas pesadas do Unix, no entanto.

Eu vejo que há uma security/libressl port agora. Se eu, um mero administrador de sistemas, fosse instalá-lo, seria possível configurar o Nginx para usá-lo sem muito mais estresse do que o necessário para usar o OpenSSL (como eu configurei com sucesso algumas vezes no passado)?

E as outras portas que esperam o OpenSSL? Por exemplo, quando vou configurar o databases/mariadb55-server , tenho uma opção para que ele use o OpenSSL, mas não o LibreSSL. Se eu instalar o LibreSSL, suas bibliotecas serão vistas e usadas como OpenSSL, ou eu terei que esperar que a porta do MariaDB seja atualizada para suportar explicitamente o LibreSSL?

Eu acho que a questão mais ampla é, como é intercambiável LibreSSL com OpenSSL a partir da perspectiva de um administrador de sistemas amadores neste momento? Devo esperar até que o LibreSSL seja mais amplamente usado e esperado?

    
por Garrett Albright 15.07.2014 / 06:37

2 respostas

7

A sua pergunta é se o LibreSSL pretende ser um substituto imediato do OpenSSL? Se sim, sim . Esta é explicitamente a intenção declarada pelos desenvolvedores. Um ponto da versão atual é garantir esse objetivo, deixando as pessoas responsáveis por pacotes binários e repositórios de origem testá-lo. Existem alguns problemas ainda, mas a maioria deles é pequena: aqui está um bom post sobre um experimento bem sucedido LibreSSL no Gentoo por Hanno Boeck.

Por outro lado, sua pergunta também pode ser interpretada como "A produção do LibreSSL está pronta"?

A resposta é: Não, não é . Nem mesmo o OpenBSD-current (o branch de desenvolvimento) atualmente se liga ao LibreSSL por padrão ...

É de se esperar que muitos outros relatórios de problemas, como Apenas alguns dias atrás, OpenSSL fork LibreSSL é declarado" inseguro para Linux " atingirá os sites de notícias de tecnologia nos próximos dias e semanas. Esses problemas certamente serão abordados e resolvidos nos próximos meses. Tenha em mente que o fork tem apenas três meses e é uma base de código enorme e complexa .

Não tenho permissão para postar mais links do que dois, mas é muito fácil encontrar várias postagens no blog, relatórios de problemas, etc. pesquisando um pouco sobre o Google. Leia as listas de discussão dos desenvolvedores de sua distribuição para ter informações confiáveis em primeira mão sobre o estado dos negócios, e não compre muito em todo o hype que está acontecendo atualmente.

Tire o que você deseja, mas eu não confiaria demais no LibreSSL neste estágio inicial do processo de desenvolvimento, muito menos eu o colocaria em produção.

    
por 16.07.2014 / 00:21
1

Pelo que vejo, eles não alteraram a biblioteca e os nomes binários. Portanto, todas as portas que configuram USE_OPENSSL também devem trabalhar com libressl se você definir WITH_OPENSSL_PORT em seu make.conf

Os pacotes binários ainda usarão o openssl do sistema básico.

    
por 15.07.2014 / 14:17