On Thu, 11 Feb 2016 09:55:42 -0300 Cesar Erices <caeri...@gmail.com> wrote:
> Estimado Eduardo, buenos dias. > > La seguridad al 100% no existe, ya sea a nivel de aplicación o > comunicación. La opción de dejar el servidor sin SSL *NO *debe ser > opcón para tí. > > Ahora bien, porque crees que el cliente aceptará que trabajes con > LibreSSL, ¿porque es más seguro?. > > Como recomendación te sugiero conversar con el cliente y solicitar su > opinión al respecto entregando las distintas alternativas, > personalmente prefiero establecer una comunicación segura. No, puede que no me haya explicado bien, el cliente SI quiere SSL/TLS, pero no la implementacion de OpenSSL. Las aplicaciones usan LibreSSL, modificando /postgresql/src/interfaces/libpq/fe-secure-openssl.c y cambiado de nombre a fe-secure-libressl.c para que compile con libressl (cambios minimos, ya que tiene modo de compatibilidad con openssl) Las dos opciones que tengo en mente, son: a) Compilar PostgreSQL con LibreSSL u otra implementacion, como mbedtls/polarssl o nss. b) Poner en la misma maquina que el servidor pgbouncer, compilado con LibreSSL. Las conexiones de los clientes a pgbouncer son seguras y entre pgbouncer y PostgreSQL no creo que hagan falta al compartir maquina. En el caso a), desconozco si basta con modificar el makefile o configuracion de postgres, no he encontrado ninguna entrada en el ./configure para usar libressl. ¿Bastaria con compilar postgresql para que use mi fe-secure-libressl.c? Se usa openssl en alguna otra parte? En el caso b) basta con compilar pgbouncer con libressl, opcion soportada en su ultima version 1.7 Por cuestiones de licencia, GPL/LGPL no se puede usar. > Saludos Gracias de nuevo --- --- Eduardo Morras <emorr...@yahoo.es> - Enviado a la lista de correo pgsql-es-ayuda (pgsql-es-ayuda@postgresql.org) Para cambiar tu suscripción: http://www.postgresql.org/mailpref/pgsql-es-ayuda
