Menü
Avatar von Enigma^
  • Enigma^

893 Beiträge seit 11.08.2000

Re: wie weit ist eigentlich LibreSSL im professionellen Umfeld verbreitet?

Parz!val schrieb am 23.01.2018 19:04:

i-n-t-e schrieb am 23.01.2018 17:33:

OK, bei OpenBSD ist es mittlerweile glaube ich die Standardinstallation, aber wie sieht es unter Linux aus? Zumindest die Desktop-Releases kommen ja immernoch mit OpenSSL... weil mehr Features und so. Aber für Server sollte es doch LibreSSL auch unter Linux tun?

Professionell ist da sicher nicht ganz einfach zu definieren.
Wenn du Apple als solches bezeichnest, dann ja. macOS definitiv, iOS auch. Da ist es wohl v.a. eine Frage der Lizenz.

OpenBSD seit einigen Versionen, die entwickeln das ja auch. FreeBSD kann man glaube wahlweise, Linux kenne ich bisher nur VoidLinux und Alpine Linux die es durchgängig komplett nutzen. Eigentlich schade. Hätte mir da schon zumindest bei Debian für Server mehr erhofft.

Liegt es an etwas Performance? Da hat Calomel mal was verglichen zumindest unter BSD.
https://calomel.org/aesni_ssl_performance.html

Wenn man sich die "vulnerabilities" so ansieht, schneidet LibreSSL wie erwartet besser ab. Wobei seit OpenSSL 1.1.0 es wohl besser geworden ist.

Doch da liest man bei Fefe immer wieder Klagen zur Inkompatibilität von 1.1.0.
https://en.wikipedia.org/wiki/LibreSSL#Security_and_vulnerabilities

Das LibreSSL so viel langsamer ist wusste ich gar nicht, aber das wird schon ausschlaggebend sein. Im professionellen Umfeld ist Zeit bekanntlich Geld und die benötigte Rechenleistung kann man sogar sehr genau in Zahlen und damit in Euros ausdrücken. Bei ein paar Prozent Unterschied würde die Entscheidung sicherlich schwieriger, aber schon bei den Meltdown/Spectre Patches, die je nach Anwendungsfall bis zu Faktor 2 an Ressourcenverbrauch verursachen, ist das Geschrei groß. Wenn die Verschlüsselungsbibliothek bis zu Faktor 7 bedeuten kann und man das mit einer anderen durchaus als ebenbürtig zu bezeichnenden Bibliothek lösen kann, dann wird die halt genommen. Regelmäßig patchen muss man sowieso, daher sind die Sicherheitslücken zwar zu betrachten, aber kein Ausschlusskriterium für OpenSSL.

Bewerten
- +
Anzeige