现在尝试 LibreSSL 是否为时过早?

现在尝试 LibreSSL 是否为时过早?

我一直在关注 的开发和最近发布自由SSL巧合的是,我最近为我的个人/业余爱好者项目配置了一个新的 FreeBSD Web 服务器。不过,我对 sysadmin 和繁重的 Unix 东西仍然相当不了解。

我看到现在有一​​个security/libressl港口。如果我,一个普通的系统管理员,要安装它,我是否能够配置 Nginx 来使用它,而不需要比使用 OpenSSL 更大的压力(因为我过去已经成功设置过几次)?

其他需要 OpenSSL 的端口又如何呢?例如,当我进入 configure 时databases/mariadb55-server,我可以选择使用 OpenSSL,但不使用 LibreSSL。如果我安装 LibreSSL,它的库是否会被视为 OpenSSL 并使用,或者我是否必须等待 MariaDB 端口更新才能明确支持 LibreSSL?

我想更广泛的问题是,从业余系统管理员的角度来看,LibreSSL 与 OpenSSL 的互换性如何?我应该推迟到 LibreSSL 得到更广泛的使用和预期吗?

答案1

您的问题是 LibreSSL 是否旨在成为 OpenSSL 的直接替代品?如果是这样,是的。这是开发商明确表达的意图。当前版本的一点是通过让负责二进制包和源代码存储库的人员对其进行测试来确保这一目标。仍然存在一些问题,但大多数都是小问题:这是一篇关于相当成功的实验的好博客文章Gentoo 上的 LibreSSL汉诺·博克著。

另一方面,您的问题也可以解释为“LibreSSL 生产准备好了吗”?

答案是:不,不是。默认情况下,甚至 OpenBSD-current(开发分支)当前也没有链接到 LibreSSL...

预计还会有更多问题报告,例如仅几天前,OpenSSL 分支 LibreSSL 就被宣布“对 Linux 不安全”将在接下来的几天和几周内登上科技新闻网站。这些问题肯定会在接下来的几个月内得到解决和解决。请记住,叉子只有三个月的历史,而且它是一个巨大的复杂的代码库。

我不允许发布两个以上的链接,但是通过谷歌搜索很容易找到各种博客文章、问题报告等。阅读您的发行版开发人员的邮件列表,以获得有关事态的可靠的第一手信息,并且不要过分相信当前正在进行的所有炒作。

从中拿走你想要的东西,但在开发过程的早期阶段我不会太信任 LibreSSL,更不用说我会把它投入生产了。

答案2

据我所知,他们没有更改库和二进制文件名称。因此,如果您在您的中定义,设置的每个端口USE_OPENSSL也应该与 libressl 一起使用WITH_OPENSSL_PORTmake.conf

二进制包仍将使用基本系统的 openssl。

相关内容