当年 Varnish 作者不想支持 SSL 的理由

https://www.varnish-cache.org/docs/trunk/phk/ssl.html

在 Heartbleed 事件之后来看，真是太有预见性了。

在这篇 2011 年的文章里有这么一段：

There is no other way we can guarantee that secret krypto-bits do not leak anywhere they should not, than by fencing in the code that deals with them in a child process, so the bulk of varnish never gets anywhere near the certificates, not even during a core-dump.

song940

2014-05-14 08:49:26 +08:00

这就好像我家门从来不锁，有一天我听说隔壁家的锁被撬开了。我高兴的说：我真特么聪明，还好我没锁。

Livid

2014-05-14 08:57:11 +08:00

@song940 这个比喻不是太恰当。Varnish 不想通过 OpenSSL 来支持 SSL 并不会使得 Varnish 本身就变得不安全，只是少了一个可能很多人都会需要的功能。（所以我很好奇 Fastly 他们的 SSL 支持是怎么做的）

而集成了 OpenSSL 之后，就像是给自己家里某个你完全不知道的角落开了一扇门。

song940

2014-05-14 09:25:48 +08:00

@Livid 的确 , 我同意 `Varnish 不想通过 OpenSSL 来支持 SSL 并不会使得 Varnish 本身就变得不安全` 这个观点 .

但是 `不会不安全` 并不等于 `安全` , 所以 , 添加 SSL 支持一定是对的 .

那么问题的关键就是使用 `OpenSSL` 还是自己实现 .

OpenSSL 这次的漏洞恰恰使它变得更加安全了 .自己实现的 SSL 也不一定就没问题 . 不能因为无法实现一个完美的 SSL 就彻底不用它 .

ETiV

2014-05-14 10:06:15 +08:00

heartbleed 可以说是网络界的掩耳盗铃了

wwqgtxx

2014-05-15 06:21:30 +08:00

突然想问问@Livid，v2ex服务器上的ssl服务是openssl提供的么？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/112440

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.