扔掉 OpenSSL，拥抱 LibreSSL

原文https://hltj.me/security/2017/05/26/libressl-instead-openssl.html 。

缘起

 

 

 

• https://www.openssl.org/news/secadv/20160301.txt
• https://www.wosign.com/News/2016-0302-00.htm

LibresSSL 是什么

 

 

• Libre-SSL，Libre 来自拉丁语，意为“自由”，大家应该并不陌生，因为 LibreOffice 已经事实上取代了 OpenOffice，没准 LibreSSL 也会有这一天。
• Lib-Re-SSL，即重新实现的 libssl。

LibreSSL 更安全吗

 

 

 

 

 

 

能够取代 OpenSSL 吗

 

 

• OpenBSD 自 5.6 起
• Mac OSX 自 10.11 El Capitan 起
• Alpine Linux 自 3.5.0 起

 

 

编译示例

 

删掉 OpenSSL 开发包

 

• CentOS 7：yum erase openssl-devel 可能会删掉 mysql-devel 等开发包，不要在已经使用的机器上做测试。
• Ubuntu 16：apt remove libssl-dev 不要在已经使用的机器上做测试。

编译安装 LibreSSL

 

• CentOS 7：yum install -y gcc wget
• Ubuntu 16：apt install -y gcc make

 

 

 

 

编译安装 Nginx

 

• CentOS 7：yum install -y pcre-devel zlib-devel
• Ubuntu 16：apt install -y zlib1g-dev libpcre3-dev

 

 

编译安装 HaProxy

 

 

 

存在问题

 

未来展望