LibreSSL auf Debian Stretch statt openSSL

  • Hey :)


    Wir überlegen derzeit von OpenSSL auf LibreSSL umzusteigen. Ich könnte aber bezüglich Debian nicht wirklich viel brauchbares finden was Installation und Stabilität angeht.


    Hat jemand von euch da einen Tipp oder Erfahrungen im Bezug auf Debian (Stretch), nginx, ecc (mit lets enctypt) ?


    Danke :)

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Ich hatte zwar Ubuntu, aber da tut sich ja nicht viel.


    Ich habe mittlerweile die aktuellste openssl 1.1.0 Version zu Mindest bei nginx am laufen.

    In Benchmarks hatte libressl deutlich das nachsehen hinsichtlich performance. Mit Version 1.1 hielten ja auch endlich moderne Alg. einzug (Curves, chacha etc.)

  • LibreSSL vs OpenSSL ist lediglich eine Politische Entscheidung.

    LibreSSL ist aus OpenSSL entstanden, am Anfang für BSD Systeme und der Grund war einerseits Heartbleed und da laut OpenBSD Projekt zuviele "Altlasten" im Projekt sind.


    Es kommt auf die Anzahl der System am Ende an um das Händlen zu können.

    Zumal bei Debian ja alles mit OpenSSL getestet wurde, auch die Sicherheit angeht beim Updaten.

    Dieses müsst ihr dann komplett übernehmen.

  • Ich bezweifle aber stark, das openssl sicherer ist wie libressl.....Schon alleine die Art und weise der Entwicklung von OpenSSL ist grauenhaft, wenn ich da mal an ecc denke.


    Sicherheitstechnisch glaube ich da also, lässt sich das Updaten und testen der Komponenten umsetzen, zumal neue Versionen ja eh von uns immer getestet werden.

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • ob LibreSSL oder OpenSSL Sicherer ist, habe ich nicht erwähnt.

    Lediglich drauf hingewiesen, dass Debian Updates für OpenSSL liefert, wenn etwas ist.


    Ich würde eher versuchen, es parallel zu OpenSSL benutzen und die Software welche libressl benutzen soll diese ausliefern lassen.


    LibreSSL zu testen ist denke nicht das Problem, aber das alle Programme welche die lib Benutzen noch gehen ist die andere Geschichte.

    curl, wget, apache, nginx, proftpd und noch viele andere verwenden die lib. und teils ist die dort auch mit Version etc. "verankert". bei einigen ist es nur eine Warning, bei anderen schon gesehen nen Segfault etc.

  • Warum nicht einfach auf eine Distribution setzen, die per default LibreSSL einsetzt, Alpine Linux¹ z.B.? Man darf nicht vergessen, dass sämtliche Pakete gegen LibreSSL neu gebaut werden müssen. Das dürfte sich zu einer ziemlichen Sisyphos Arbeit entwickeln. Am Ende bleibt dann vom eigentlichen Debian wenig übrig.


    [1] https://alpinelinux.org/