¿Es demasiado pronto para probar LibreSSL? [cerrado]

9

He estado siguiendo un poco el desarrollo y el lanzamiento reciente de LibreSSL y, casualmente, tengo un nuevo servidor web de FreeBSD que he estado configurando para mis proyectos personales / hobby recientemente. Sin embargo, todavía estoy bastante obsesionado con el administrador de sistemas y las cosas pesadas de Unix.

Veo que hay un security/libresslpuerto ahora. Si yo, un simple administrador de sistemas mortal, lo instalara, ¿sería capaz de configurar Nginx para usarlo sin mucho más estrés del necesario para usar OpenSSL (como lo he configurado con éxito un par de veces en el pasado)?

¿Qué pasa con otros puertos que han llegado a esperar OpenSSL? Por ejemplo, cuando voy a configurar databases/mariadb55-server, obtengo una opción para que use OpenSSL, pero no LibreSSL. Si instalo LibreSSL, ¿se verán y utilizarán sus bibliotecas como OpenSSL, o tengo que esperar a que se actualice el puerto MariaDB para admitir explícitamente LibreSSL?

Supongo que la pregunta más amplia es, ¿qué tan intercambiable es LibreSSL con OpenSSL desde la perspectiva de un administrador de sistemas aficionado en este momento? ¿Debería esperar hasta que LibreSSL sea más ampliamente utilizado y esperado?

Garrett Albright
fuente
2
Usted preguntó específicamente sobre el estado de LibreSSL en FreeBSD: Bob Beck, director de la fundación OpenBSD y miembro del equipo de LibreSSL, escribió en el podcast BSDnow de esta semana para señalar que existen serios problemas con el generador de números aleatorios nativo de FreeBSD en libc, vea aquí el mensaje completo. Se rumorea que el equipo de seguridad está revisando una solución propuesta por Ted Unangst, pero parece que todavía no se ha introducido nada en el árbol. La página de inicio de LibreSSL también advierte sobre estos problemas.
damien

Respuestas:

7

¿Es su pregunta si LibreSSL está destinado a ser un reemplazo directo para OpenSSL? Si es así, . Esta es explícitamente la intención declarada por los desarrolladores. Un punto de la versión actual es garantizar ese objetivo dejando que las personas responsables de los paquetes binarios y los repositorios de origen lo prueben. Todavía hay algunos problemas, pero la mayoría de ellos son menores: aquí hay una buena publicación de blog sobre un experimento bastante exitoso LibreSSL en Gentoo por Hanno Boeck.

Por otro lado, su pregunta también podría interpretarse como "¿Está lista la producción de LibreSSL"?

La respuesta es: no, no lo es . Ni siquiera OpenBSD-current (la rama de desarrollo) actualmente enlaza con LibreSSL por defecto ...

Es de esperar que muchos más informes de problemas, como Solo unos días de antigüedad, OpenSSL fork LibreSSL se declare "inseguro para Linux" llegarán a los sitios de noticias de tecnología en los próximos días y semanas. Estos problemas seguramente se abordarán y resolverán en los próximos meses. Tenga en cuenta que la bifurcación tiene solo tres meses y es una base de código enorme y compleja .

No se me permite publicar más enlaces que dos, pero es bastante fácil encontrar varias publicaciones de blog, informes de problemas, etc. buscando en Google un poco. Lea las listas de correo de los desarrolladores de su distribución para tener información confiable de primera mano sobre el estado de los asuntos, y no compre demasiado en todo el bombo que está sucediendo actualmente.

Quite de esto lo que desea, pero no confiaría demasiado en LibreSSL en este punto temprano del proceso de desarrollo, y mucho menos lo pondría en producción.

usuario77648
fuente
1
No creo que el artículo de Ars sea realmente justo porque asume ciertas circunstancias ridículas, y, aunque LibreSSL definitivamente debería funcionar en esos casos, OpenSSL también tuvo muchos casos de mal comportamiento en ese tipo de casos extremos muy específicos. Dicho esto, sus otros puntos están bien tomados: me quedaré con OpenSSL por ahora y reconsideraré las cosas más adelante (tal vez una vez que OpenBSD se envíe con él).
Garrett Albright
3
Esta respuesta está desactualizada. OpenBSD ha usado LibreSSL desde 5.6 lanzado el 1 de noviembre de 2014.
Evan Carroll
1

Por lo que veo, no han cambiado la biblioteca y los nombres binarios. Por lo tanto, cada puerto que establezca USE_OPENSSLtambién debería funcionar con libressl si define WITH_OPENSSL_PORTen sumake.conf

Los paquetes binarios seguirán utilizando el openssl del sistema base.

Arved
fuente