快 2021 年了，生产环境还有用 OpenSSL 1.0.2u 的吗

虽然看到官方已经不推荐 1.0.2 和 1.1.0 系列了

但是我司好像并没有说要上 1.1.1,反倒还不推荐，说是怕不稳定

各位大佬的生产环境 or 运维安全整改有无还在用 1.0.2u 最后一个版本的？

gesse

2020-10-29 09:10:18 +08:00

我感觉 1.1.1 1.0.1 并不能影响所谓的稳定性，只能是兼容性。

mikeshinoda

2020-10-29 09:38:57 +08:00

@gesse 主要还是考虑安全性，部分甲方对这块的要求挺严

gesse

2020-10-29 09:45:03 +08:00

@mikeshinoda
这个在合同上倒是可以加分。

NerverLibis

2020-10-29 10:10:17 +08:00

1.为了安全性，肯定上 1.1.1，普及至少两年了，否则漏洞大把
2.所谓的不稳定，不兼容，是你们运维太菜，服务器有大量过期组件，编译不支持 1.1.1，需要手动添加新版本号

dilu

2020-10-29 10:19:00 +08:00

友情建议别动，就 v 站就见过太多升级 openssl 翻车的了。

mikeshinoda

2020-10-29 10:38:03 +08:00

@NerverLibis 漏洞影响大不大主要是看客户找的安服做的漏扫出来的结果，不过我也刚来，就我了解 1.0.2u 已经可以过检了，而且业务都是在内网。主要是出于好奇想了解下现在啥情况，哈哈哈

NerverLibis

2020-10-29 10:50:08 +08:00

@mikeshinoda 手动把 1.0.2u 版本号改成 1.2.1 有的就能过检，没任何意义。

forcecharlie

2020-10-29 12:31:22 +08:00

静态链接 OpenSSL 1.1.1h 不挺好的吗？

ivmm

2020-10-29 12:42:46 +08:00

跟着系统走，用 RHEL8 了那就 1.1.1 。如果还是 RHEL7 的那就继续 1.0.2

不要自己编译，跟着系统走最好

mikeshinoda

2020-10-29 15:36:43 +08:00

@ivmm 确实我领导也是说尽量别大版本升级，目前基本都是 1.0.2u

hxndg

2021-02-22 19:10:25 +08:00

1.1.1d 的 Ecp_NISTZ256.s 汇编在 zhaoxin CPU 会触发 Segment fault，我们还在查为啥。
初次之外，稳定性和性能高过 1.0.2k

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.