Eduardo Morras escribió: > No, puede que no me haya explicado bien, el cliente SI quiere SSL/TLS, > pero no la implementacion de OpenSSL. Las aplicaciones usan LibreSSL, > modificando /postgresql/src/interfaces/libpq/fe-secure-openssl.c y > cambiado de nombre a fe-secure-libressl.c para que compile con > libressl (cambios minimos, ya que tiene modo de compatibilidad con > openssl) > > Las dos opciones que tengo en mente, son: > > a) Compilar PostgreSQL con LibreSSL u otra implementacion, como > mbedtls/polarssl o nss. > b) Poner en la misma maquina que el servidor pgbouncer, compilado con > LibreSSL. Las conexiones de los clientes a pgbouncer son seguras y > entre pgbouncer y PostgreSQL no creo que hagan falta al compartir > maquina.
Heikki Linnakangas inició hace un par de años un proyecto para permitir que Postgres sea "agnóstico a la implementación SSL", de manera que se puedan usar otras bibliotecas como LibreSSL, GnuTLS, Schannel (Windows), Mozilla NSS, para la implementación subyacente. Lo que está hecho hasta el momento es que la parte de OpenSSL está encapsulada en ese archivo be-secure-openssl.c; lo que falta es permitir que otras bibliotecas ofrezcan una API similar para poder tener be-secure-schannel.c etc. La gracia de LibreSSL es que es muy similar a OpenSSL y debería ser posible crear un be-secure-libressl.c a partir del -openssl.c sin demasiado trabajo. Si lo haces, quizás podrías considerar la idea de transformar eso en un parche para Postgres y enviarlo a pg-hackers. En cambio, hacerlo con PolarSSL o alguna de las otras deber ser un esfuerzo mucho mayor (y por lo tanto si lo haces, definitivamente envía el parche a -hackers). BTW tengo entendido que SSL incluso en SSLv3 tiene problemas de seguridad bastante severos, y sólo TLS v1.2 debería considerarse ahora. -- Álvaro Herrera http://www.2ndQuadrant.com/ PostgreSQL Development, 24x7 Support, Remote DBA, Training & Services - Enviado a la lista de correo pgsql-es-ayuda (pgsql-es-ayuda@postgresql.org) Para cambiar tu suscripción: http://www.postgresql.org/mailpref/pgsql-es-ayuda
