Я немного следил за развитием и недавним выпуском LibreSSL, и по совпадению у меня появился новый веб-сервер FreeBSD, который я недавно настраивал для моих личных / увлеченных проектов. Тем не менее, я до сих пор неравнодушен к сисадминам и тяжелым Unix-материалам.
Я вижу, что сейчас есть security/libresslпорт. Если бы я, простой смертный sysadmin, смог установить его, смог бы ли я настроить Nginx для его использования без гораздо большего напряжения, чем требуется для использования OpenSSL (как я успешно настраивал пару раз в прошлом)?
А как насчет других портов, которые ожидают OpenSSL? Например, когда я иду к настройке databases/mariadb55-server, я получаю возможность использовать OpenSSL, но не LibreSSL. Если я установлю LibreSSL, будут ли его библиотеки рассматриваться и использоваться как OpenSSL, или мне придется ждать обновления порта MariaDB для явной поддержки LibreSSL?
Я предполагаю, что более широкий вопрос заключается в том, насколько взаимозаменяема LibreSSL с OpenSSL с точки зрения системного администратора-любителя на данном этапе? Должен ли я сдерживаться, пока LibreSSL не станет более широко используемым и ожидаемым?
Ответы:
Ваш вопрос, является ли LibreSSL заменой OpenSSL? Если да, то да . Это явное намерение, заявленное разработчиками. Одной из целей текущего выпуска является обеспечение этой цели, позволяя людям, ответственным за бинарные пакеты и исходные репозитории, тестировать ее. Есть еще несколько проблем, но большинство из них незначительные: вот хороший пост в блоге о довольно успешном эксперименте LibreSSL на Gentoo Ханно Бека.
С другой стороны, ваш вопрос можно также интерпретировать как «Готово ли производство LibreSSL»?
Ответ: нет, это не так . Даже OpenBSD-current (ветка разработки) в настоящее время не связывается с LibreSSL по умолчанию ...
Следует ожидать, что еще много сообщений о проблемах, таких как только за несколько дней, форк OpenSSL LibreSSL объявлен «небезопасным для Linux» , попадет на сайты технических новостей в течение следующих дней и недель. Эти проблемы, безусловно, будут решены и решены в течение следующих нескольких месяцев. Имейте в виду, что форку всего три месяца, и это огромная и сложная кодовая база.
Я не могу публиковать больше ссылок, чем две, но довольно легко найти различные сообщения в блоге, отчеты о проблемах и так далее, немного погуглив. Прочтите списки рассылки разработчиков вашего дистрибутива, чтобы иметь достоверную информацию из первых рук о состоянии дел, и не покупайте слишком много на всю шумиху, которая происходит в настоящее время.
Уберите из этого то, что вы хотите, но я бы не стал слишком доверять LibreSSL на этом раннем этапе процесса разработки, не говоря уже о том, чтобы я запустил его в производство.
источник
Из того, что я вижу, они не изменили библиотеку и двоичные имена. Таким образом, каждый порт, который устанавливает,
USE_OPENSSLтакже должен работать с libressl, если вы определилиWITH_OPENSSL_PORTв своемmake.confДвоичные пакеты по-прежнему будут использовать openssl базовой системы.
источник