É muito cedo para experimentar o LibreSSL? [fechadas]

9

Tenho acompanhado um pouco o desenvolvimento e a recente liberação do LibreSSL e, por coincidência, tenho um novo servidor web FreeBSD que tenho configurado recentemente para meus projetos pessoais / amadores. No entanto, ainda sou bastante interessado em sysadmin e coisas pesadas do Unix.

Vejo que agora há uma security/libresslporta. Se eu, um mero mortal administrador de sistemas, o instalasse, seria capaz de configurar o Nginx para usá-lo sem muito mais estresse do que o necessário para usar o OpenSSL (como eu configurei algumas vezes no passado)?

E quanto a outras portas que esperam o OpenSSL? Por exemplo, quando vou configurar databases/mariadb55-server, tenho a opção de usar o OpenSSL, mas não o LibreSSL. Se eu instalar o LibreSSL, suas bibliotecas serão vistas e usadas como OpenSSL ou preciso aguardar a atualização da porta MariaDB para dar suporte explícito ao LibreSSL?

Eu acho que a pergunta mais ampla é: quão intercambiável é o LibreSSL com o OpenSSL da perspectiva de um administrador de sistema amador neste momento? Devo esperar até que o LibreSSL seja mais amplamente usado e esperado?

freebsd openssl Garrett Albright
fonte
2
Você perguntou especificamente sobre o status do LibreSSL no FreeBSD: Bob Beck, diretor da fundação OpenBSD e membro da equipe LibreSSL, escreveu no podcast do BSDnow desta semana para apontar que há sérios problemas com o gerador de números aleatórios nativos do FreeBSD na libc, veja aqui a mensagem completa. Há rumores de que uma correção proposta por Ted Unangst está sendo analisada pela equipe de segurança, mas nada parece ter entrado na árvore ainda. A página inicial do LibreSSL também alerta sobre esses problemas.
damien

Respostas:

7

É sua pergunta se o LibreSSL se destina a substituir o OpenSSL? Se sim , sim . Essa é explicitamente a intenção declarada pelos desenvolvedores. Um ponto da versão atual é garantir esse objetivo, permitindo que as pessoas responsáveis ​​pelos pacotes binários e repositórios de origem o testem. Ainda existem alguns problemas, mas a maioria é pequena: aqui está um bom post sobre uma experiência bem-sucedida do LibreSSL no Gentoo, de Hanno Boeck.

Por outro lado, sua pergunta também pode ser interpretada como "A produção do LibreSSL está pronta"?

A resposta é: não, não é . Nem mesmo o OpenBSD-current (o ramo de desenvolvimento) atualmente está vinculado ao LibreSSL por padrão ...

Espera-se que muitos outros relatórios de problemas, como o LibreSSL , com apenas alguns dias de idade, declarado "inseguro para Linux" , atinjam os sites de notícias de tecnologia nos próximos dias e semanas. Esses problemas certamente serão resolvidos e resolvidos nos próximos meses. Lembre-se de que o fork tem apenas três meses e é uma base de código enorme e complexa .

Não tenho permissão para postar mais links do que dois, mas é bastante fácil encontrar várias postagens no blog, relatórios de problemas etc. no Google, pesquisando um pouco. Leia as listas de discussão dos desenvolvedores da sua distribuição para obter informações confiáveis ​​em primeira mão sobre o estado das coisas e não compre muito do hype que está acontecendo atualmente.

Tire isso do que você deseja, mas eu não confiaria muito no LibreSSL nesse ponto inicial do processo de desenvolvimento, e muito menos eu o colocaria em produção.

user77648
fonte
1
Eu não acho que o artigo do Ars seja realmente justo porque pressupõe certas circunstâncias ridículas e, embora o LibreSSL deva definitivamente ainda funcionar nesses casos, o OpenSSL também teve muitos casos de comportamento ruim nesses tipos de casos extremos muito específicos. Dito isto, seus outros pontos estão bem entendidos - eu continuarei com o OpenSSL por enquanto e reconsiderarei as coisas mais adiante (talvez uma vez que o OpenBSD o acompanhe).
Garrett Albright
3
Esta resposta está desatualizada. OpenBSD tem LibreSSL usado desde 5.6 lançado 01 de novembro de 2014.
Evan Carroll
1

Pelo que vejo, eles não mudaram a biblioteca e os nomes binários. Portanto, toda porta que define USE_OPENSSLtambém deve funcionar com libressl se você definir WITH_OPENSSL_PORTem seumake.conf

Pacotes binários ainda usarão o openssl do sistema base.

arqueado
fonte