Có quá sớm để thử LibreSSL không? [đóng cửa]

9

Đã đóng cửa . Câu hỏi này cần được tập trung hơn . Nó hiện không chấp nhận câu trả lời.

Bạn muốn cải thiện câu hỏi này? Cập nhật câu hỏi để nó chỉ tập trung vào một vấn đề bằng cách chỉnh sửa bài đăng này .

Đóng cửa 5 năm trước .

Tôi đã phần nào theo dõi sự phát triển và phát hành gần đây của LibreSSL và tình cờ tôi có một máy chủ web FreeBSD mới mà tôi đã định cấu hình cho các dự án cá nhân / sở thích của tôi gần đây. Mặc dù vậy, tôi vẫn còn khá ít về sysadmin và những thứ nặng về Unix.

Tôi thấy rằng security/libresslbây giờ có một cổng. Nếu tôi, một người chỉ sysadmin, đã cài đặt nó, liệu tôi có thể định cấu hình Nginx để sử dụng nó mà không cần nhiều căng thẳng hơn so với việc sử dụng OpenSSL (như tôi đã thiết lập thành công một vài lần trong quá khứ)?

Còn các cổng khác mong đợi OpenSSL thì sao? Ví dụ, khi tôi đi cấu hình databases/mariadb55-server, tôi nhận được một tùy chọn để sử dụng OpenSSL, nhưng không phải LibreSSL. Nếu tôi cài đặt LibreSSL, các thư viện của nó sẽ được xem và sử dụng như OpenSSL hay tôi phải đợi cổng MariaDB được cập nhật để hỗ trợ rõ ràng cho LibreSSL?

Tôi đoán câu hỏi rộng hơn là, LibreSSL có thể hoán đổi cho nhau như thế nào với OpenSSL từ quan điểm của một sysadmin nghiệp dư vào thời điểm này? Tôi có nên giữ cho đến khi LibreSSL được sử dụng rộng rãi và được mong đợi hơn không?

freebsd openssl

— Garrett Albright
nguồn

2

Bạn đã hỏi cụ thể về trạng thái của LibreSSL trên FreeBSD: Bob Beck, giám đốc của tổ chức OpenBSD và là thành viên của nhóm LibreSSL, đã viết vào podcast BSDnow tuần này để chỉ ra rằng có vấn đề nghiêm trọng với trình tạo số ngẫu nhiên gốc của FreeBSD trong libc, xem ở đây để biết thông điệp đầy đủ. Có tin đồn rằng bản sửa lỗi được đề xuất bởi Ted Unangst đang được nhóm an ninh xem xét, nhưng dường như chưa có gì đi vào cây. Các trang web của LibreSSL cũng cảnh báo về những vấn đề này.

— damien

7

Câu hỏi của bạn là liệu LibreSSL có được dự định là sự thay thế thả xuống cho OpenSSL không? Nếu vậy, có . Đây rõ ràng là ý định được nêu ra bởi các nhà phát triển. Một điểm của bản phát hành hiện tại là đảm bảo mục tiêu đó bằng cách cho phép những người chịu trách nhiệm về các gói nhị phân và kho lưu trữ nguồn kiểm tra nó. Vẫn còn một vài vấn đề, nhưng hầu hết trong số đó chỉ là vấn đề nhỏ: đây là một bài đăng blog hay về một thí nghiệm khá thành công LibreSSL trên Gentoo của Hanno Boeck.

Mặt khác, câu hỏi của bạn cũng có thể được hiểu là "Sản xuất LibreSSL đã sẵn sàng chưa"?

Câu trả lời là: Không, không phải vậy . Ngay cả OpenBSD-current (nhánh phát triển) hiện đang liên kết với LibreSSL theo mặc định ...

Dự kiến sẽ có thêm nhiều báo cáo vấn đề như Chỉ vài ngày nữa, OpenSSL fork LibreSSL được tuyên bố là không an toàn cho Linux, sẽ tấn công các trang web tin tức công nghệ trong những ngày và tuần tới. Những vấn đề này chắc chắn sẽ được giải quyết và sắp xếp trong vài tháng tới. Hãy nhớ rằng ngã ba chỉ mới ba tháng tuổi và đó là một cơ sở mã lớn và phức tạp .

Tôi không được phép đăng nhiều liên kết hơn hai, nhưng khá dễ dàng để tìm các bài đăng blog khác nhau, báo cáo vấn đề, v.v. Đọc danh sách gửi thư của các nhà phát triển bản phân phối của bạn để có thông tin trực tiếp đáng tin cậy về tình trạng của vấn đề và không mua quá nhiều vào tất cả các quảng cáo đang diễn ra.

Bỏ đi những gì bạn muốn, nhưng tôi sẽ không tin tưởng LibreSSL quá nhiều vào thời điểm đầu tiên này trong quá trình phát triển, chứ đừng nói đến việc tôi sẽ đưa nó vào sản xuất.

— người dùng77648
nguồn

1

Tôi không nghĩ rằng bài viết của Ars thực sự công bằng vì nó giả sử một số trường hợp lố bịch nhất định, và, trong khi LibreSSL chắc chắn vẫn hoạt động trong những trường hợp đó, OpenSSL cũng có rất nhiều trường hợp hành xử tồi trong những trường hợp cạnh rất cụ thể đó. Điều đó đang được nói, các điểm khác của bạn đã được thực hiện tốt - tôi sẽ gắn bó với OpenSSL ngay bây giờ và xem xét lại mọi thứ ở xa hơn (có thể một khi OpenBSD vận chuyển với nó).

— Garrett Albright

3

Câu trả lời này đã hết hạn. OpenBSD đã sử dụng LibreSSL kể từ ngày 5.6 phát hành ngày 1 tháng 11 năm 2014.

— Evan Carroll

1

Từ những gì tôi thấy họ đã không thay đổi tên thư viện và tên nhị phân. Vì vậy, mọi cổng được thiết lập USE_OPENSSLcũng sẽ hoạt động với libressl nếu bạn xác định WITH_OPENSSL_PORTtrongmake.conf

Các gói nhị phân vẫn sẽ sử dụng openssl của hệ thống cơ sở.

— vũ trang
nguồn