这是一个创建于 3641 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://www.varnish-cache.org/docs/trunk/phk/ssl.html
在 Heartbleed 事件之后来看,真是太有预见性了。
在这篇 2011 年的文章里有这么一段:
There is no other way we can guarantee that secret krypto-bits do not leak anywhere they should not, than by fencing in the code that deals with them in a child process, so the bulk of varnish never gets anywhere near the certificates, not even during a core-dump.
在 Heartbleed 事件之后来看,真是太有预见性了。
在这篇 2011 年的文章里有这么一段:
There is no other way we can guarantee that secret krypto-bits do not leak anywhere they should not, than by fencing in the code that deals with them in a child process, so the bulk of varnish never gets anywhere near the certificates, not even during a core-dump.
5 条回复 • 2014-05-15 06:21:30 +08:00
 |
1
song940 2014-05-14 08:49:26 +08:00 via iPhone  4
这就好像我家门从来不锁,有一天我听说隔壁家的锁被撬开了。我高兴的说:我真特么聪明,还好我没锁。
|
 |
2
Livid MOD OP @song940 这个比喻不是太恰当。Varnish 不想通过 OpenSSL 来支持 SSL 并不会使得 Varnish 本身就变得不安全,只是少了一个可能很多人都会需要的功能。(所以我很好奇 Fastly 他们的 SSL 支持是怎么做的)
而集成了 OpenSSL 之后,就像是给自己家里某个你完全不知道的角落开了一扇门。 |
|
3
song940 2014-05-14 09:25:48 +08:00
@Livid 的确 , 我同意 `Varnish 不想通过 OpenSSL 来支持 SSL 并不会使得 Varnish 本身就变得不安全` 这个观点 .
但是 `不会不安全` 并不等于 `安全` , 所以 , 添加 SSL 支持一定是对的 . 那么问题的关键就是 使用 `OpenSSL` 还是自己实现 . OpenSSL 这次的漏洞恰恰使它变得更加安全了 .自己实现的 SSL 也不一定就没问题 . 不能因为无法实现一个完美的 SSL 就彻底不用它 . |
 |
4
ETiV 2014-05-14 10:06:15 +08:00 via iPhone
heartbleed 可以说是网络界的掩耳盗铃了
|
Select Language