Ist es zu früh, um LibreSSL auszuprobieren? [geschlossen]

9

Ich habe die Entwicklung und die jüngste Veröffentlichung von LibreSSL etwas verfolgt und zufällig habe ich einen neuen FreeBSD-Webserver, den ich kürzlich für meine persönlichen / Hobby-Projekte konfiguriert habe. Ich bin immer noch ziemlich verrückt nach Sysadmin und schwerem Unix-Zeug.

Ich sehe, dass es security/libressljetzt einen Hafen gibt. Wenn ich, nur ein Sysadmin-Sterblicher, es installieren würde, könnte ich Nginx so konfigurieren, dass es ohne viel mehr Stress verwendet wird, als es für die Verwendung von OpenSSL erforderlich ist (wie ich es in der Vergangenheit einige Male erfolgreich eingerichtet habe)?

Was ist mit anderen Ports, die OpenSSL erwarten? Wenn ich zum Beispiel konfiguriere databases/mariadb55-server, erhalte ich die Option, OpenSSL zu verwenden, nicht jedoch LibreSSL. Wenn ich LibreSSL installiere, werden seine Bibliotheken als OpenSSL angezeigt und verwendet, oder muss ich warten, bis der MariaDB-Port aktualisiert wird, um LibreSSL explizit zu unterstützen?

Ich denke, die umfassendere Frage ist, wie austauschbar LibreSSL mit OpenSSL aus der Sicht eines Amateur-Systemadministrators zu diesem Zeitpunkt ist. Sollte ich warten, bis LibreSSL weiter verbreitet und erwartet wird?

Garrett Albright
quelle
2
Sie haben speziell nach dem Status von LibreSSL auf FreeBSD gefragt: Bob Beck, Direktor der OpenBSD-Stiftung und Mitglied des LibreSSL-Teams, hat in den BSDnow-Podcast dieser Woche geschrieben, um darauf hinzuweisen, dass es ernsthafte Probleme mit dem nativen Zufallszahlengenerator von FreeBSD gibt In libc finden Sie hier die vollständige Nachricht. Gerüchten zufolge wird ein von Ted Unangst vorgeschlagener Fix vom Sicherheitsteam geprüft, aber es scheint noch nichts in den Baum gegangen zu sein. Die LibreSSL-Homepage warnt ebenfalls vor diesen Problemen.
Damien

Antworten:

7

Ist Ihre Frage, ob LibreSSL als Ersatz für OpenSSL gedacht ist? Wenn ja, ja . Dies ist ausdrücklich die Absicht der Entwickler. Ein Punkt der aktuellen Version besteht darin, dieses Ziel sicherzustellen, indem die für Binärpakete und Quell-Repositorys verantwortlichen Personen es testen lassen. Es gibt noch einige Probleme, aber die meisten sind geringfügig: Hier ist ein guter Blog-Beitrag über ein ziemlich erfolgreiches Experiment LibreSSL on Gentoo von Hanno Boeck.

Andererseits könnte Ihre Frage auch als "Ist die LibreSSL-Produktion bereit" interpretiert werden?

Die Antwort lautet: Nein, ist es nicht . Derzeit ist nicht einmal OpenBSD-current (der Entwicklungszweig) standardmäßig mit LibreSSL verknüpft ...

Es ist zu erwarten, dass in den nächsten Tagen und Wochen viele weitere Problemberichte wie OpenSSL Fork LibreSSL, das nur wenige Tage alt ist und für „unsicher für Linux“ erklärt wurde , auf den Tech-News-Websites erscheinen werden. Diese Probleme werden sicherlich in den nächsten Monaten angegangen und gelöst. Denken Sie daran, dass die Gabel erst drei Monate alt ist und eine riesige und komplexe Codebasis darstellt.

Ich darf nicht mehr als zwei Links posten, aber es ist ziemlich einfach, verschiedene Blog-Beiträge, Problemberichte usw. zu finden, indem ich ein wenig google. Lesen Sie die Mailinglisten der Entwickler Ihrer Distribution, um verlässliche Informationen aus erster Hand über den Stand der Dinge zu erhalten, und kaufen Sie nicht zu viel in den aktuellen Hype ein.

Nehmen Sie davon weg, was Sie wünschen, aber ich würde LibreSSL zu diesem frühen Zeitpunkt im Entwicklungsprozess nicht zu sehr vertrauen, geschweige denn würde ich es in Produktion bringen.

user77648
quelle
1
Ich denke nicht, dass der Artikel von Ars wirklich fair ist, weil er bestimmte lächerliche Umstände voraussetzt, und während LibreSSL in diesen Fällen definitiv noch funktionieren sollte, hatte OpenSSL viele Fälle, in denen es sich auch in solchen sehr spezifischen Randfällen schlecht benahm. Davon abgesehen sind Ihre anderen Punkte gut aufgenommen - ich bleibe vorerst bei OpenSSL und überlege die Dinge weiter unten (vielleicht einmal, wenn OpenBSD damit ausgeliefert wird).
Garrett Albright
1

Soweit ich sehe, haben sie die Bibliothek und die Binärnamen nicht geändert. Daher sollte jeder festgelegte Port USE_OPENSSLauch mit libressl funktionieren, wenn Sie WITH_OPENSSL_PORTin Ihrem definierenmake.conf

Binärpakete verwenden weiterhin die openssl des Basissystems.

gebogen
quelle