เร็วเกินไปที่จะลองใช้ LibreSSL หรือไม่ [ปิด]

9

ฉันได้ติดตามการพัฒนาและการเปิดตัวLibreSSL ล่าสุดและบังเอิญฉันมีเว็บเซิร์ฟเวอร์ FreeBSD ใหม่ที่ฉันได้กำหนดค่าสำหรับโครงการส่วนตัว / งานอดิเรกของฉันเมื่อเร็ว ๆ นี้ ฉันยังคงค่อนข้าง n00bish เกี่ยวกับดูแลระบบและสิ่ง Unix หนักแม้ว่า

ฉันเห็นว่ามีsecurity/libresslพอร์ตแล้ว ถ้าฉันเป็นมนุษย์เพียงดูแลระบบติดตั้งฉันจะสามารถกำหนดค่า Nginx ให้ใช้งานได้โดยไม่ต้องเครียดมากกว่าการใช้ OpenSSL (เนื่องจากเคยตั้งค่าไว้สองสามครั้งในอดีต)?

แล้วพอร์ตอื่น ๆ ที่คาดว่าจะมี OpenSSL ล่ะ? ตัวอย่างเช่นเมื่อฉันไปกำหนดค่าdatabases/mariadb55-serverฉันจะได้รับตัวเลือกให้ใช้ OpenSSL แต่ไม่ใช่ LibreSSL หากฉันติดตั้ง LibreSSL ไลบรารีของมันจะถูกมองเห็นและใช้เป็น OpenSSL หรือฉันต้องรอให้พอร์ต MariaDB ได้รับการปรับปรุงเพื่อรองรับ LibreSSL อย่างชัดเจนหรือไม่

ฉันเดาคำถามที่กว้างขึ้นว่า LibreSSL กับ OpenSSL สามารถใช้แทนกันได้อย่างไรจากมุมมองของผู้ดูแลระบบมือสมัครเล่น ณ จุดนี้ ฉันควรระงับจนกว่า LibreSSL จะใช้อย่างกว้างขวางและคาดหวังมากขึ้นหรือไม่

freebsd  openssl 
การ์เร็ตไบรท์
แหล่งที่มา
2
คุณถามเฉพาะเกี่ยวกับสถานะของ LibreSSL ใน FreeBSD: Bob Beck ผู้อำนวยการมูลนิธิ OpenBSD และสมาชิกของทีม LibreSSL เขียนลงในพอดคาสต์ BSDnowของสัปดาห์นี้เพื่อชี้ให้เห็นว่ามีปัญหาร้ายแรงกับเครื่องกำเนิดหมายเลขสุ่มของ FreeBSD ใน libc ดูที่นี่สำหรับข้อความเต็มรูปแบบ มีข่าวลือว่าการแก้ไขที่เสนอโดย Ted Unangst อยู่ระหว่างการตรวจสอบโดยทีมรักษาความปลอดภัย แต่ดูเหมือนว่าจะไม่มีอะไรเข้าไปในต้นไม้ หน้าแรก LibreSSLยังเตือนเกี่ยวกับปัญหาเหล่านี้
เมียน

คำตอบ:

7

คำถามของคุณหรือไม่ว่า LibreSSL ตั้งใจจะเป็นแบบดรอปดาวน์สำหรับ OpenSSL หรือไม่ ถ้าเป็นเช่นนั้นใช่ นี่คือความตั้งใจที่ชัดเจนที่ระบุโดยนักพัฒนา จุดหนึ่งของการเปิดตัวในปัจจุบันคือการทำให้มั่นใจว่าเป้าหมายนั้นจะช่วยให้ผู้ที่รับผิดชอบแพคเกจไบนารีและแหล่งเก็บข้อมูลทดสอบ ยังมีปัญหาอยู่บ้าง แต่ส่วนใหญ่ยังเล็กอยู่: นี่คือโพสต์บล็อกที่ดีเกี่ยวกับการทดลองที่ประสบความสำเร็จมากกว่าLibreSSL บน Gentooโดย Hanno Boeck

ในทางกลับกันคำถามของคุณอาจถูกตีความว่าเป็น "การผลิต LibreSSL พร้อมหรือยัง"

คำตอบคือไม่มีก็ไม่ได้ ไม่แม้แต่ OpenBSD- ปัจจุบัน (สาขาการพัฒนา) ในปัจจุบันเชื่อมโยงกับ LibreSSL โดยค่าเริ่มต้น ...

คาดว่าจะมีรายงานปัญหาอีกหลายอย่างเช่นอายุเพียงไม่กี่วัน OpenSSL fork LibreSSL ได้รับการประกาศว่า "ไม่ปลอดภัยสำหรับ Linux"จะเข้าสู่เว็บไซต์ข่าวเทคโนโลยีในอีกไม่กี่วันถัดไป ปัญหาเหล่านี้จะได้รับการแก้ไขและแยกออกในอีกไม่กี่เดือนข้างหน้า โปรดทราบว่าส้อมมีอายุเพียงสามเดือนและเป็นรหัสฐานขนาดใหญ่และซับซ้อน

ฉันไม่ได้รับอนุญาตให้โพสต์ลิงก์มากกว่าสองรายการ แต่มันค่อนข้างง่ายในการค้นหาโพสต์บล็อกต่างๆรายงานปัญหาและอื่น ๆ โดย Googling เพียงเล็กน้อย อ่านรายชื่อผู้รับจดหมายของนักพัฒนาของ distro ของคุณเพื่อรับข้อมูลมือแรกที่เชื่อถือได้เกี่ยวกับสถานะของกิจการและอย่าซื้อมากเกินไปในโฆษณาทั้งหมดที่กำลังเกิดขึ้น

นำออกไปจากสิ่งที่คุณต้องการ แต่ฉันจะไม่ไว้วางใจ LibreSSL มากเกินไปในช่วงแรก ๆ ของกระบวนการพัฒนาฉันจะเอามันไปผลิต

user77648
แหล่งที่มา
1
ฉันไม่คิดว่าบทความ Ars นั้นยุติธรรมจริง ๆ เพราะมันถือว่าสถานการณ์ไร้สาระบางอย่างและในขณะที่ LibreSSL ควรทำงานในกรณีเหล่านั้นอย่างแน่นอน OpenSSL มีหลายกรณีที่มีพฤติกรรมที่ไม่ดีในกรณีขอบที่เฉพาะเจาะจงเช่นกัน ที่ถูกกล่าวว่าจุดอื่น ๆ ของคุณจะถูกนำไปใช้อย่างดี - ฉันจะติดกับ OpenSSL สำหรับตอนนี้และพิจารณาสิ่งต่าง ๆ เพิ่มเติมไปตามถนน
Garrett Albright
3
Evan Carroll
1

จากสิ่งที่ฉันเห็นพวกเขาไม่ได้เปลี่ยนชื่อไลบรารีและไบนารี ดังนั้นทุกพอร์ตที่ตั้งค่าUSE_OPENSSLควรทำงานกับ libressl หากคุณกำหนดไว้WITH_OPENSSL_PORTในmake.conf

แพ็คเกจไบนารีจะยังคงใช้ openssl ของระบบพื้นฐาน

arved
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.