È troppo presto per provare LibreSSL? [chiuso]

Ho seguito in qualche modo lo sviluppo e la recente versione di LibreSSL e per coincidenza ho un nuovo server web FreeBSD che ho configurato di recente per i miei progetti personali / hobbisti. Tuttavia, sono ancora abbastanza sbrigativo riguardo al sysadmin e alle cose pesanti di Unix.

Vedo che security/libressladesso c'è una porta. Se io, un semplice mortale amministratore di sistema, dovessi installarlo, sarei in grado di configurare Nginx per usarlo senza molto più stress di quello che serve per usare OpenSSL (come ho impostato con successo un paio di volte in passato)?

Che dire delle altre porte che si aspettano OpenSSL? Ad esempio, quando vado a configurare databases/mariadb55-server, ottengo un'opzione per farlo usare OpenSSL, ma non LibreSSL. Se installo LibreSSL, le sue librerie verranno visualizzate e utilizzate come OpenSSL o devo attendere l'aggiornamento della porta MariaDB per supportare esplicitamente LibreSSL?

Immagino che la domanda più ampia sia: quanto è intercambiabile LibreSSL con OpenSSL dal punto di vista di un amministratore di sistema amatoriale a questo punto? Devo resistere fino a quando LibreSSL non sarà più ampiamente utilizzato e previsto?

La tua domanda è se LibreSSL intende essere un sostituto drop-in per OpenSSL? Se è così, sì . Questa è esplicitamente l'intenzione dichiarata dagli sviluppatori. Un punto della versione corrente è garantire tale obiettivo lasciando che le persone responsabili dei pacchetti binari e dei repository di origine lo testino. Ci sono ancora alcuni problemi, ma la maggior parte sono minori: ecco un buon post sul blog su un esperimento piuttosto riuscito LibreSSL su Gentoo di Hanno Boeck.

D'altra parte, la tua domanda potrebbe anche essere interpretata come "La produzione di LibreSSL è pronta"?

La risposta è: no, non lo è . Nemmeno OpenBSD-current (il ramo di sviluppo) attualmente si collega a LibreSSL per impostazione predefinita ...

È prevedibile che molte altre segnalazioni di problemi come Solo pochi giorni fa, il fork OpenSSL LibreSSL sia dichiarato "non sicuro per Linux" , colpiranno i siti di tecnologia nei prossimi giorni e settimane. Questi problemi verranno sicuramente risolti e risolti nei prossimi mesi. Tieni presente che il fork ha solo tre mesi ed è una base di codice enorme e complessa .

Non sono autorizzato a pubblicare più link di due, ma è abbastanza facile trovare vari post sul blog, segnalazioni di problemi e così via da Google. Leggi le mailing list degli sviluppatori della tua distribuzione per avere informazioni affidabili di prima mano sullo stato delle cose e non comprare troppo in tutto il clamore che sta accadendo attualmente.

Porta via questo da quello che desideri, ma non mi fiderei troppo di LibreSSL in questa fase iniziale del processo di sviluppo, e tanto meno lo metterei in produzione.

Da quello che vedo non hanno cambiato la libreria e i nomi binari. Quindi ogni porta che imposta USE_OPENSSLdovrebbe funzionare anche con libressl se lo definisci WITH_OPENSSL_PORTnel tuomake.conf

I pacchetti binari utilizzeranno comunque openssl del sistema di base.