Re: Compilar Postgresql sin OpenSSL con LibreSSL u otra similar

On Thu, 11 Feb 2016 09:55:42 -0300
Cesar Erices <caerices(at)gmail(dot)com> wrote:

> Estimado Eduardo, buenos dias.
>
> La seguridad al 100% no existe, ya sea a nivel de aplicación o
> comunicación. La opción de dejar el servidor sin SSL *NO *debe ser
> opcón para tí.
>
> Ahora bien, porque crees que el cliente aceptará que trabajes con
> LibreSSL, ¿porque es más seguro?.
>
> Como recomendación te sugiero conversar con el cliente y solicitar su
> opinión al respecto entregando las distintas alternativas,
> personalmente prefiero establecer una comunicación segura.

No, puede que no me haya explicado bien, el cliente SI quiere SSL/TLS, pero no la implementacion de OpenSSL. Las aplicaciones usan LibreSSL, modificando /postgresql/src/interfaces/libpq/fe-secure-openssl.c y cambiado de nombre a fe-secure-libressl.c para que compile con libressl (cambios minimos, ya que tiene modo de compatibilidad con openssl)

Las dos opciones que tengo en mente, son:

a) Compilar PostgreSQL con LibreSSL u otra implementacion, como mbedtls/polarssl o nss.
b) Poner en la misma maquina que el servidor pgbouncer, compilado con LibreSSL. Las conexiones de los clientes a pgbouncer son seguras y entre pgbouncer y PostgreSQL no creo que hagan falta al compartir maquina.

En el caso a), desconozco si basta con modificar el makefile o configuracion de postgres, no he encontrado ninguna entrada en el ./configure para usar libressl. ¿Bastaria con compilar postgresql para que use mi fe-secure-libressl.c? Se usa openssl en alguna otra parte?

En el caso b) basta con compilar pgbouncer con libressl, opcion soportada en su ultima version 1.7

Por cuestiones de licencia, GPL/LGPL no se puede usar.

> Saludos

Gracias de nuevo

--- ---
Eduardo Morras <emorrasg(at)yahoo(dot)es>

-
Enviado a la lista de correo pgsql-es-ayuda (pgsql-es-ayuda(at)postgresql(dot)org)
Para cambiar tu suscripción:
http://www.postgresql.org/mailpref/pgsql-es-ayuda