J'ai suivi un peu le développement et la sortie récente de LibreSSL et, par coïncidence, j'ai un nouveau serveur Web FreeBSD que j'ai configuré récemment pour mes projets personnels / amateurs. Je suis encore assez n00bish sur sysadmin et les trucs Unix lourds, cependant.
Je vois qu'il y a un security/libressl
port maintenant. Si moi, un simple mortel administrateur système, devais l'installer, serais-je capable de configurer Nginx pour l'utiliser sans beaucoup plus de stress qu'il n'en faut pour utiliser OpenSSL (comme j'ai réussi à le configurer plusieurs fois par le passé)?
Qu'en est-il des autres ports qui en sont venus à attendre OpenSSL? Par exemple, lorsque je vais configurer databases/mariadb55-server
, j'obtiens une option pour qu'il utilise OpenSSL, mais pas LibreSSL. Si j'installe LibreSSL, ses bibliothèques seront-elles vues et utilisées comme OpenSSL, ou dois-je attendre que le port MariaDB soit mis à jour pour prendre en charge explicitement LibreSSL?
Je suppose que la question la plus large est la suivante: dans quelle mesure LibreSSL est-il interchangeable avec OpenSSL du point de vue d'un administrateur système amateur à ce stade? Dois-je attendre jusqu'à ce que LibreSSL soit plus largement utilisé et attendu?
Réponses:
Votre question est-elle de savoir si LibreSSL est destiné à être un remplacement libre pour OpenSSL? Si oui, oui . C'est explicitement l'intention exprimée par les développeurs. Un point de la version actuelle est de garantir cet objectif en laissant les personnes responsables des packages binaires et des référentiels sources le tester. Il y a encore quelques problèmes, mais la plupart sont mineurs: voici un bon article de blog sur une expérience plutôt réussie LibreSSL sur Gentoo par Hanno Boeck.
D'un autre côté, votre question pourrait également être interprétée comme «la production de LibreSSL est-elle prête»?
La réponse est: non, ce n'est pas le cas . Pas même OpenBSD-current (la branche de développement) ne lie actuellement contre LibreSSL par défaut ...
Il faut s'attendre à ce que de nombreux autres rapports de problèmes tels que « OpenSSL fork» LibreSSL, vieux de quelques jours seulement, soient déclarés «dangereux pour Linux», arriveront sur les sites de nouvelles technologiques au cours des prochains jours et semaines. Ces problèmes seront certainement résolus et réglés au cours des prochains mois. Gardez à l'esprit que le fork n'a que trois mois et qu'il s'agit d'une base de code énorme et complexe .
Je ne suis pas autorisé à publier plus de liens que deux, mais il est assez facile de trouver un peu les différents articles de blog, les rapports de problèmes, etc. sur Google. Lisez les listes de diffusion des développeurs de votre distribution pour avoir des informations de première main fiables sur l'état des choses, et n'achetez pas trop dans tout le battage médiatique qui se déroule actuellement.
Otez de cela ce que vous souhaitez, mais je ne ferais pas trop confiance à LibreSSL à ce stade précoce du processus de développement, et encore moins je le mettrais en production.
la source
D'après ce que je vois, ils n'ont pas changé la bibliothèque et les noms binaires. Donc, chaque port qui définit
USE_OPENSSL
devrait également fonctionner avec libressl si vous définissezWITH_OPENSSL_PORT
dans votremake.conf
Les packages binaires utiliseront toujours l'openssl du système de base.
la source