OpenSSL 1.1.0 - kann ich apache24 und OpenVPN damit bauen?
- Ersteller Freigeist
- Erstellt am
- Status
Freigeist
Well-Known Member
Die Lösung gibt es bereits. Nur nicht für FreeBSD Systeme. Ich werde mir mal bei Gelegenheit eine Linux-VM einrichten und schauen wo dort die Probleme zu finden sind.
Ich habe jetzt nur 2-3 Minuten investiert und die ersten Ergebnisse einer Suchmaschine überflogen. Aber:
https://wiki.freebsd.org/SSHPerf
Offenbar hat man hier schon mit OpenSSL 1.0.2 mit ChaCha20 gearbeitet.
https://savagedlight.me/2015/11/26/freebsd-nginx-ssl-and-the-chacha20-cipher-suites/
Er hat schon Ende 2015 seinen Nginx Server via LibreSSL auf ChaCha20 bekommen.
https://wiki.freebsd.org/LibreSSL/ChaCha20
Hier steht, dass Apache 2.4 mit LibreSSL kompatibel wäre.
Ich bin mir sicher, dass man das mit ein wenig Expertise (okay vielleicht auch ein bisschen mehr) hinbekommen könnte. Notfalls via Patch wie für Linux damals:
https://www.pckr.co.uk/openssl-chacha20-cipher-suite/
Oder via OpenSSL Fork:
https://github.com/PeterMosmans/openssl/tree/1.0.2-chacha
Was ich damit sagen will ist, dass die Möglichkeiten schon da sind, aber wohl nicht so einfach umzusetzen wie bei bestimmten namhaften Linux Distributionen.
Edit:
Fefe nutzt, zumindest laut Fingerprints, "Linux" und eine eigens entwickelte, minimalistische Webserversoftware namens "Gatling" (die aber laut der Seite auch mit FreeBSD arbeiten würde
):
https://www.fefe.de/gatling/
https://wiki.freebsd.org/SSHPerf
Offenbar hat man hier schon mit OpenSSL 1.0.2 mit ChaCha20 gearbeitet.
https://savagedlight.me/2015/11/26/freebsd-nginx-ssl-and-the-chacha20-cipher-suites/
Er hat schon Ende 2015 seinen Nginx Server via LibreSSL auf ChaCha20 bekommen.
https://wiki.freebsd.org/LibreSSL/ChaCha20
Hier steht, dass Apache 2.4 mit LibreSSL kompatibel wäre.
Ich bin mir sicher, dass man das mit ein wenig Expertise (okay vielleicht auch ein bisschen mehr) hinbekommen könnte. Notfalls via Patch wie für Linux damals:
https://www.pckr.co.uk/openssl-chacha20-cipher-suite/
Oder via OpenSSL Fork:
https://github.com/PeterMosmans/openssl/tree/1.0.2-chacha
Was ich damit sagen will ist, dass die Möglichkeiten schon da sind, aber wohl nicht so einfach umzusetzen wie bei bestimmten namhaften Linux Distributionen.
Edit:
Fefe nutzt, zumindest laut Fingerprints, "Linux" und eine eigens entwickelte, minimalistische Webserversoftware namens "Gatling" (die aber laut der Seite auch mit FreeBSD arbeiten würde
):https://www.fefe.de/gatling/
Freigeist
Well-Known Member
Bitte um Vergebung.
Bin nur ein Laie, ein einfacher Kunde ohne besondere Kenntnisse, der aber moderne Verschlüsselungsverfahren nutzen und nicht zig Stunden der freien Zeit dafür opfern möchte.
Zuletzt bearbeitet:
Freigeist
Well-Known Member
Habe ich von einem Problem gesprochen? Nein, ich habe nur einen Vergleich angestellt.
Man könnte ein Thema zu Sicherheitsaspekten aufmachen. Welche Cipher-Suite ist zu empfehlen. Leider fehlen mir da die erforderlichen Kenntnisse. Möglicherweise gibt es hier genügend Experten von denen wir Laien lernen können.
Zuletzt bearbeitet:
ari
Well-Known Member
Ich bin ein Laie, dennoch: Wenn du dir ueber die Sicherheitsaspekte der kryptographischen Standardeinstellungen in FreeBSD Sorgen machen musst, dann solltest du dein Bedrohungsmodell dringend nochmal ueberdenken.
Freigeist
Well-Known Member
Welches Bedrohungsmodell? Ich kann mit diesem Begriff gar nichts anfangen und würde um Aufklärung bitten.
Wenn es noch nicht allen verständlich geworden ist:
Wie kann ich FreeBSD und die in den Ports vorhandenen, für mich im Fokus liegenden, Anwendungen ohne Klimmzüge mit modernen Verschlüsselungsverfahren nutzen?
Kurzes Fazit meiner Bemühungen mit FreeBSD/poudriere:
Mit LibreSSL bauen apache24, nginx, OpenVPN.
Mit OpenSSL 1.1.0 bauen OpenVPN und stunnel.
Ich würde gern OpenSSL 1.1.0 nutzen was aber die meisten Probleme bereitet.
Als Optimist sage ich: Das Glas mit Wasser ist zur Hälfte gefüllt.
Gerade FreeBSD ist bekannt für seine streckenweise katastrophalen Standardeinstellungen - nicht nur, aber auch im Bereich Kryptographie: FreeBSD - a lesson in poor defaults
Freigeist
Well-Known Member
So, eine VM (arch Linux) ist nun eingerichtet.
- OpenSSL ist 1.1.0f.
- OpenVPN ist 2.4.3
So sollte es sein!
Ich werde, bei mir als Laien dauert es argch länger, apache24 auf den Zahn fühlen. Irgendwie bin ich noch optimistisch. Viele Wege sollen angeblich nach Rom führen. Irrwege eingeschlossen.
- OpenSSL ist 1.1.0f.
- OpenVPN ist 2.4.3
So sollte es sein!
Ich werde, bei mir als Laien dauert es ar
Zuletzt bearbeitet:
Freigeist
Well-Known Member
FreeBSD 11/Poudriere/openssl-devel und FreeBSD 11/Poudriere/libressl
Ich fasse mal meine "Erkenntnisse" kurz zusammen:
Mit "poudriere/openssl-devel" kommt man in den Genuss von OpenSSL 1.1.0. Die Anwendungen
- OpenVPN
- stunnel
- apache24
- nginx
standen im Hinblick auf Nutzung moderner Verschlüsselungsverfahren (CHACHA20) im Mittelpunkt der Tests.
- mit "poudriere/openssl-devel" lassen sich bauen: OpenVPN, stunnel
Nun bietet auch "libressl" z. B. CHACHA20. Das ist vorteilhaft.
- mit "poudriere/libressl" lassen sich bauen: OpenVPN, apachae24, nginx
Das ist der Stand der Dinge heute und der ist alles andere als befriedigend. Wenn man die Pakete nimmt bleibt man auf OpenSSL 1.0.2. Der Wechsel auf "libressl" bietet auch (noch?) keine Lösung.
Der Griff nach dem Strohhalm (arch Linux) war nötig. Da gibt es nur Pakete. Man muss/kann als Laie nichts bauen wenn ich das richtig sehe. Aber zum Glück war schon OpenSSL 1.1.0f nach der Installation vorhanden.
Die Entwickler im Umfeld von FreeBSD arbeiter also weiter konservativ um es mal positiv auszudrücken. Mal sehen wie es im Jahr 2018, zwei Jahre nach OpenSSL 1.1.0, aussehen wird.
Ich fasse mal meine "Erkenntnisse" kurz zusammen:
Mit "poudriere/openssl-devel" kommt man in den Genuss von OpenSSL 1.1.0. Die Anwendungen
- OpenVPN
- stunnel
- apache24
- nginx
standen im Hinblick auf Nutzung moderner Verschlüsselungsverfahren (CHACHA20) im Mittelpunkt der Tests.
- mit "poudriere/openssl-devel" lassen sich bauen: OpenVPN, stunnel
Nun bietet auch "libressl" z. B. CHACHA20. Das ist vorteilhaft.
- mit "poudriere/libressl" lassen sich bauen: OpenVPN, apachae24, nginx
Das ist der Stand der Dinge heute und der ist alles andere als befriedigend. Wenn man die Pakete nimmt bleibt man auf OpenSSL 1.0.2. Der Wechsel auf "libressl" bietet auch (noch?) keine Lösung.
Der Griff nach dem Strohhalm (arch Linux) war nötig. Da gibt es nur Pakete. Man muss/kann als Laie nichts bauen wenn ich das richtig sehe. Aber zum Glück war schon OpenSSL 1.1.0f nach der Installation vorhanden.
Die Entwickler im Umfeld von FreeBSD arbeiter also weiter konservativ um es mal positiv auszudrücken. Mal sehen wie es im Jahr 2018, zwei Jahre nach OpenSSL 1.1.0, aussehen wird.
Freigeist
Well-Known Member
Der Umstieg auf Arch Linux hat sich gelohnt. Die von mir in diesem Thema auf FreeBSD bezogenen und dargestellten Probleme mit der Nutzung moderner Verschlüsselungsverfahren gibt es bei Arch Linux nicht.
Ich würde ja gerne bei FreeBSD als Serversystem bleiben aber es gibt auch Grenzen der Akzeptanz.
Die Frage die sich mir stellt ist folgende:
Wo genau liegende die Ursachen für die von mir genannten Probleme? Ich sehe da als Laie nicht durch. FreeBSD als System an sich ohne Anwendungen? Was bringt es dem Nutzer?
Ich würde ja gerne bei FreeBSD als Serversystem bleiben aber es gibt auch Grenzen der Akzeptanz.
Die Frage die sich mir stellt ist folgende:
Wo genau liegende die Ursachen für die von mir genannten Probleme? Ich sehe da als Laie nicht durch. FreeBSD als System an sich ohne Anwendungen? Was bringt es dem Nutzer?
FreeBSD ist (ähnlich CentOS im Linux-Bereich) sehr konservativ. Mit deinem Anliegen des Einsatzes Software hat du gegen diese konservative Grundeinstellung gearbeitet.
Arch Linux liefert immer zeitnah sehr aktuelle Software-Versionen aus, zieht dir dafür aber auch gnadenlos alte Versionen unterm Hintern weg. Wenn du eine Software gehabt hättest, die auf OpenSSL 1.0.x angewiesen ist und mit 1.1.x zickt, hättest du mit Arch Linux über Nacht ein Problem gehabt. Sowas probiert FreeBSD zu vermeiden bzw. auf neue FreeBSD-Releases zu beschränken.
Einen Nachteil der konservativen Grundeinstellung hast du am eigenen Leib zu spüren bekommen: aktuelle Software auf einer nicht ganz aktuellen Plattform zu betreiben geht halt in vielen Fällen nur mit Schmerzen, wenn überhaupt.
Nicht umsonst gibt es momentan so manche Lösung, die gleich jede Anwendung mitsamt passendem Unterbau ausliefert, um u. a. genau solche Probleme von vornherein zu vermeiden.
Freigeist
Well-Known Member
Ich habe ja nun für mich eine brauchbare Lösung gefunden. Sie basiert zwar nicht auf FreeBSD aber ich bin da sehr pragmatisch. Habe keine "ideologischen Probleme" mit Arch Linux als Server für mein kleines Projekt. Diese Distribution ist mir deshalb angenehm, weil auf meinem PC auch eine auf Arch basierende Distribution läuft. Damit fliegt die Jail auf dem FreeNAS runter.
Immerhin habe ich mich mit poudriere beschäftigt. Totales Neuland für mich. Die Tests bezüglich OpenSSL 101.0 in FreeBSD werde ich aber nicht fortführen.
Immerhin habe ich mich mit poudriere beschäftigt. Totales Neuland für mich. Die Tests bezüglich OpenSSL 101.0 in FreeBSD werde ich aber nicht fortführen.
Zuletzt bearbeitet:
Freigeist
Well-Known Member
Gibt es auf dieser FreeBSD-Baustelle Fortschritte oder versucht man weiterhin im Umfeld von openssl-devel durch Aussitzen Erfolg zu haben?
Es gibt ja hier im Forum viele aussagefähige Experten zu FreeBSD, die mehr wissen könnten/sollten als unwissende Laien, zu denen ich mich zähle.
Nun, hier sieht man etwas Bewegung.
Es gibt ja hier im Forum viele aussagefähige Experten zu FreeBSD, die mehr wissen könnten/sollten als unwissende Laien, zu denen ich mich zähle.
Nun, hier sieht man etwas Bewegung.
- Status