V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Livid
V2EX  ›  SSL

当年 Varnish 作者不想支持 SSL 的理由

  •  1
     
  •   Livid · 2014-05-14 06:05:17 +08:00 · 5204 次点击
    这是一个创建于 3848 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://www.varnish-cache.org/docs/trunk/phk/ssl.html

    在 Heartbleed 事件之后来看,真是太有预见性了。

    在这篇 2011 年的文章里有这么一段:

    There is no other way we can guarantee that secret krypto-bits do not leak anywhere they should not, than by fencing in the code that deals with them in a child process, so the bulk of varnish never gets anywhere near the certificates, not even during a core-dump.
    5 条回复    2014-05-15 06:21:30 +08:00
    song940
        1
    song940  
       2014-05-14 08:49:26 +08:00 via iPhone   ❤️ 4
    这就好像我家门从来不锁,有一天我听说隔壁家的锁被撬开了。我高兴的说:我真特么聪明,还好我没锁。
    Livid
        2
    Livid  
    MOD
    OP
       2014-05-14 08:57:11 +08:00
    @song940 这个比喻不是太恰当。Varnish 不想通过 OpenSSL 来支持 SSL 并不会使得 Varnish 本身就变得不安全,只是少了一个可能很多人都会需要的功能。(所以我很好奇 Fastly 他们的 SSL 支持是怎么做的)

    而集成了 OpenSSL 之后,就像是给自己家里某个你完全不知道的角落开了一扇门。
    song940
        3
    song940  
       2014-05-14 09:25:48 +08:00
    @Livid 的确 , 我同意 `Varnish 不想通过 OpenSSL 来支持 SSL 并不会使得 Varnish 本身就变得不安全` 这个观点 .

    但是 `不会不安全` 并不等于 `安全` , 所以 , 添加 SSL 支持一定是对的 .

    那么问题的关键就是 使用 `OpenSSL` 还是自己实现 .

    OpenSSL 这次的漏洞恰恰使它变得更加安全了 .自己实现的 SSL 也不一定就没问题 . 不能因为无法实现一个完美的 SSL 就彻底不用它 .
    ETiV
        4
    ETiV  
       2014-05-14 10:06:15 +08:00 via iPhone
    heartbleed 可以说是网络界的掩耳盗铃了
    wwqgtxx
        5
    wwqgtxx  
       2014-05-15 06:21:30 +08:00 via Android
    突然想问问@Livid,v2ex服务器上的ssl服务是openssl提供的么?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5055 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 05:39 · PVG 13:39 · LAX 21:39 · JFK 00:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.