Ich habe die Entwicklung und die jüngste Veröffentlichung von LibreSSL etwas verfolgt und zufällig habe ich einen neuen FreeBSD-Webserver, den ich kürzlich für meine persönlichen / Hobby-Projekte konfiguriert habe. Ich bin immer noch ziemlich verrückt nach Sysadmin und schwerem Unix-Zeug.
Ich sehe, dass es security/libressl
jetzt einen Hafen gibt. Wenn ich, nur ein Sysadmin-Sterblicher, es installieren würde, könnte ich Nginx so konfigurieren, dass es ohne viel mehr Stress verwendet wird, als es für die Verwendung von OpenSSL erforderlich ist (wie ich es in der Vergangenheit einige Male erfolgreich eingerichtet habe)?
Was ist mit anderen Ports, die OpenSSL erwarten? Wenn ich zum Beispiel konfiguriere databases/mariadb55-server
, erhalte ich die Option, OpenSSL zu verwenden, nicht jedoch LibreSSL. Wenn ich LibreSSL installiere, werden seine Bibliotheken als OpenSSL angezeigt und verwendet, oder muss ich warten, bis der MariaDB-Port aktualisiert wird, um LibreSSL explizit zu unterstützen?
Ich denke, die umfassendere Frage ist, wie austauschbar LibreSSL mit OpenSSL aus der Sicht eines Amateur-Systemadministrators zu diesem Zeitpunkt ist. Sollte ich warten, bis LibreSSL weiter verbreitet und erwartet wird?
Antworten:
Ist Ihre Frage, ob LibreSSL als Ersatz für OpenSSL gedacht ist? Wenn ja, ja . Dies ist ausdrücklich die Absicht der Entwickler. Ein Punkt der aktuellen Version besteht darin, dieses Ziel sicherzustellen, indem die für Binärpakete und Quell-Repositorys verantwortlichen Personen es testen lassen. Es gibt noch einige Probleme, aber die meisten sind geringfügig: Hier ist ein guter Blog-Beitrag über ein ziemlich erfolgreiches Experiment LibreSSL on Gentoo von Hanno Boeck.
Andererseits könnte Ihre Frage auch als "Ist die LibreSSL-Produktion bereit" interpretiert werden?
Die Antwort lautet: Nein, ist es nicht . Derzeit ist nicht einmal OpenBSD-current (der Entwicklungszweig) standardmäßig mit LibreSSL verknüpft ...
Es ist zu erwarten, dass in den nächsten Tagen und Wochen viele weitere Problemberichte wie OpenSSL Fork LibreSSL, das nur wenige Tage alt ist und für „unsicher für Linux“ erklärt wurde , auf den Tech-News-Websites erscheinen werden. Diese Probleme werden sicherlich in den nächsten Monaten angegangen und gelöst. Denken Sie daran, dass die Gabel erst drei Monate alt ist und eine riesige und komplexe Codebasis darstellt.
Ich darf nicht mehr als zwei Links posten, aber es ist ziemlich einfach, verschiedene Blog-Beiträge, Problemberichte usw. zu finden, indem ich ein wenig google. Lesen Sie die Mailinglisten der Entwickler Ihrer Distribution, um verlässliche Informationen aus erster Hand über den Stand der Dinge zu erhalten, und kaufen Sie nicht zu viel in den aktuellen Hype ein.
Nehmen Sie davon weg, was Sie wünschen, aber ich würde LibreSSL zu diesem frühen Zeitpunkt im Entwicklungsprozess nicht zu sehr vertrauen, geschweige denn würde ich es in Produktion bringen.
quelle
Soweit ich sehe, haben sie die Bibliothek und die Binärnamen nicht geändert. Daher sollte jeder festgelegte Port
USE_OPENSSL
auch mit libressl funktionieren, wenn SieWITH_OPENSSL_PORT
in Ihrem definierenmake.conf
Binärpakete verwenden weiterhin die openssl des Basissystems.
quelle