Apakah masih terlalu dini untuk mencoba LibreSSL? [Tutup]


9

Saya telah mengikuti perkembangan dan rilis LibreSSL baru-baru ini dan kebetulan saya memiliki server web FreeBSD baru yang telah saya konfigurasikan untuk proyek pribadi / hobi saya baru-baru ini. Saya masih cukup n00bish tentang sysadmin dan hal-hal berat Unix.

Saya melihat ada security/libresslport sekarang. Jika saya, manusia sysadmin belaka, adalah untuk menginstalnya, apakah saya dapat mengkonfigurasi Nginx untuk menggunakannya tanpa lebih banyak tekanan daripada yang diperlukan untuk menggunakan OpenSSL (karena saya telah berhasil mengatur beberapa kali di masa lalu)?

Bagaimana dengan port lain yang mengharapkan OpenSSL? Sebagai contoh, ketika saya pergi untuk mengkonfigurasi databases/mariadb55-server, saya mendapatkan opsi untuk menggunakannya menggunakan OpenSSL, tetapi tidak LibreSSL. Jika saya menginstal LibreSSL, apakah perpustakaannya akan dilihat dan digunakan sebagai OpenSSL, atau apakah saya harus menunggu port MariaDB diperbarui untuk secara eksplisit mendukung LibreSSL?

Saya kira pertanyaan yang lebih luas adalah, seberapa dipertukarkan LibreSSL dengan OpenSSL dari perspektif sysadmin amatir pada saat ini? Haruskah saya menunda sampai LibreSSL lebih banyak digunakan dan diharapkan?


2
Anda secara khusus bertanya tentang status LibreSSL di FreeBSD: Bob Beck, direktur yayasan OpenBSD dan anggota tim LibreSSL, menulis di podcast BSDnow minggu ini untuk menunjukkan bahwa ada masalah serius dengan generator nomor acak asli FreeBSD ini. di libc, lihat di sini untuk pesan lengkap. Rumor mengatakan bahwa perbaikan yang diusulkan oleh Ted Unangst sedang ditinjau oleh tim keamanan, tetapi tampaknya belum ada yang masuk ke pohon. Situs web LibreSSL juga memperingatkan tentang masalah ini.
damien

Jawaban:


7

Apakah pertanyaan Anda apakah LibreSSL dimaksudkan sebagai pengganti drop-in untuk OpenSSL? Jika ya , ya . Ini secara eksplisit niat yang dinyatakan oleh pengembang. Salah satu poin dari rilis saat ini adalah untuk memastikan tujuan itu dengan membiarkan orang yang bertanggung jawab atas paket biner dan repositori sumber mengujinya. Masih ada beberapa masalah, tetapi sebagian besar kecil: berikut adalah posting blog yang bagus tentang eksperimen LibreSSL yang agak sukses di Gentoo oleh Hanno Boeck.

Di sisi lain, pertanyaan Anda juga dapat diartikan sebagai "Apakah produksi LibreSSL siap"?

Jawabannya adalah: Tidak, tidak . Bahkan saat ini OpenBSD-saat ini (cabang pengembangan) tidak terhubung dengan LibreSSL secara default ...

Diharapkan bahwa lebih banyak laporan masalah seperti Baru berumur beberapa hari, garpu OpenSSL LibreSSL dinyatakan "tidak aman untuk Linux" akan mengenai situs berita teknologi selama beberapa hari dan minggu ke depan. Masalah-masalah ini pasti akan ditangani dan diselesaikan selama beberapa bulan ke depan. Ingatlah bahwa garpu baru berusia tiga bulan dan ini merupakan basis kode yang besar dan kompleks .

Saya tidak diizinkan memposting lebih banyak tautan daripada dua, tetapi cukup mudah untuk menemukan berbagai posting blog, laporan masalah, dan sebagainya dengan sedikit Googling. Baca milis para pengembang distro Anda untuk mendapatkan informasi tangan pertama yang andal tentang keadaan, dan jangan membeli terlalu banyak ke semua hype yang sedang terjadi.

Singkirkan ini dari apa yang Anda inginkan, tetapi saya tidak akan terlalu mempercayai LibreSSL pada titik awal dalam proses pengembangan ini, apalagi yang akan saya masukkan ke dalam produksi.


1
Saya tidak berpikir bahwa artikel Ars benar-benar adil karena mengasumsikan keadaan konyol tertentu, dan, sementara LibreSSL pasti masih bekerja dalam kasus-kasus itu, OpenSSL memiliki banyak kasus berperilaku buruk dalam kasus tepi yang sangat spesifik juga. Yang sedang berkata, poin Anda yang lain diambil dengan baik - saya akan tetap menggunakan OpenSSL untuk saat ini dan mempertimbangkan kembali hal-hal lebih jauh (mungkin sekali OpenBSD mengirimnya).
Garrett Albright


1

Dari apa yang saya lihat mereka belum mengubah perpustakaan dan nama biner. Jadi setiap port yang USE_OPENSSLdisetel juga harus bekerja dengan libressl jika Anda mendefinisikan WITH_OPENSSL_PORTdimake.conf

Paket biner masih akan menggunakan sistem dasar openssl.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.