Est-il trop tôt pour essayer LibreSSL? [fermé]

9

J'ai suivi un peu le développement et la sortie récente de LibreSSL et, par coïncidence, j'ai un nouveau serveur Web FreeBSD que j'ai configuré récemment pour mes projets personnels / amateurs. Je suis encore assez n00bish sur sysadmin et les trucs Unix lourds, cependant.

Je vois qu'il y a un security/libresslport maintenant. Si moi, un simple mortel administrateur système, devais l'installer, serais-je capable de configurer Nginx pour l'utiliser sans beaucoup plus de stress qu'il n'en faut pour utiliser OpenSSL (comme j'ai réussi à le configurer plusieurs fois par le passé)?

Qu'en est-il des autres ports qui en sont venus à attendre OpenSSL? Par exemple, lorsque je vais configurer databases/mariadb55-server, j'obtiens une option pour qu'il utilise OpenSSL, mais pas LibreSSL. Si j'installe LibreSSL, ses bibliothèques seront-elles vues et utilisées comme OpenSSL, ou dois-je attendre que le port MariaDB soit mis à jour pour prendre en charge explicitement LibreSSL?

Je suppose que la question la plus large est la suivante: dans quelle mesure LibreSSL est-il interchangeable avec OpenSSL du point de vue d'un administrateur système amateur à ce stade? Dois-je attendre jusqu'à ce que LibreSSL soit plus largement utilisé et attendu?

Garrett Albright
la source
2
Vous avez spécifiquement posé des questions sur le statut de LibreSSL sur FreeBSD: Bob Beck, le directeur de la fondation OpenBSD et membre de l'équipe LibreSSL, a écrit dans le podcast BSDnow de cette semaine afin de souligner qu'il y a de sérieux problèmes avec le générateur de nombres aléatoires natif de FreeBSD. en libc, voir ici pour le message complet. La rumeur veut qu'un correctif proposé par Ted Unangst soit en cours d'examen par l'équipe de sécurité, mais rien ne semble être encore entré dans l'arborescence. La page d'accueil de LibreSSL met également en garde contre ces problèmes.
damien

Réponses:

7

Votre question est-elle de savoir si LibreSSL est destiné à être un remplacement libre pour OpenSSL? Si oui, oui . C'est explicitement l'intention exprimée par les développeurs. Un point de la version actuelle est de garantir cet objectif en laissant les personnes responsables des packages binaires et des référentiels sources le tester. Il y a encore quelques problèmes, mais la plupart sont mineurs: voici un bon article de blog sur une expérience plutôt réussie LibreSSL sur Gentoo par Hanno Boeck.

D'un autre côté, votre question pourrait également être interprétée comme «la production de LibreSSL est-elle prête»?

La réponse est: non, ce n'est pas le cas . Pas même OpenBSD-current (la branche de développement) ne lie actuellement contre LibreSSL par défaut ...

Il faut s'attendre à ce que de nombreux autres rapports de problèmes tels que « OpenSSL fork» LibreSSL, vieux de quelques jours seulement, soient déclarés «dangereux pour Linux», arriveront sur les sites de nouvelles technologiques au cours des prochains jours et semaines. Ces problèmes seront certainement résolus et réglés au cours des prochains mois. Gardez à l'esprit que le fork n'a que trois mois et qu'il s'agit d'une base de code énorme et complexe .

Je ne suis pas autorisé à publier plus de liens que deux, mais il est assez facile de trouver un peu les différents articles de blog, les rapports de problèmes, etc. sur Google. Lisez les listes de diffusion des développeurs de votre distribution pour avoir des informations de première main fiables sur l'état des choses, et n'achetez pas trop dans tout le battage médiatique qui se déroule actuellement.

Otez de cela ce que vous souhaitez, mais je ne ferais pas trop confiance à LibreSSL à ce stade précoce du processus de développement, et encore moins je le mettrais en production.

user77648
la source
1
Je ne pense pas que l'article d'Ars soit vraiment juste car il suppose certaines circonstances ridicules, et, alors que LibreSSL devrait certainement continuer à fonctionner dans ces cas, OpenSSL a également eu de nombreux cas de mauvais comportement dans ce genre de cas marginaux très spécifiques. Cela étant dit, vos autres points sont bien pris en compte - je vais rester avec OpenSSL pour l'instant et reconsidérer les choses plus tard (peut-être une fois qu'OpenBSD sera livré avec).
Garrett Albright
1

D'après ce que je vois, ils n'ont pas changé la bibliothèque et les noms binaires. Donc, chaque port qui définit USE_OPENSSLdevrait également fonctionner avec libressl si vous définissez WITH_OPENSSL_PORTdans votremake.conf

Les packages binaires utiliseront toujours l'openssl du système de base.

arved
la source