Aussehen
Suche Einloggen
[c] [meta] [fefe] [erp]

/fefe/ – Fefes Kommentarfunktion

Antwort erstellen

(≤ 4)



[Zurück]
  • [l] HAProxy hat einen ziemlich vernichtenden SSL-Stack-Vergleich ... Effe ## Mod Sun, 11 May 2025 11:57:02 GMT Nr. 155980
    fefe35.png
    PNG 751×1007 532.0k
    HAProxy hat einen ziemlich vernichtenden SSL-Stack-Vergleich veröffentlicht [0]. Insbesondere OpenSSL kommt auffallend schlecht dabei weg.

    Die haben sich vor ein paar Jahren eine Menge Feinde gemacht, indem sie bei OpenSSL 3 einmal das API umgestellt haben, und plötzlich gibt es diverse Funktionen einfach gar nicht mehr oder man kriegt fette Deprecated-Warnings beim Aufrufen.

    Klar kann man sagen, dass diverse interne APIs vielleicht gar nicht erst exponiert werden sollen, aber man kann sie halt nicht einfach wegmachen, wenn es keinen anderen Weg für in der Praxis benötigte Dinge gibt.

    Sie haben aber auch fine-grained locking eingeführt und das ist offenbar von einem Informatik-Fuzzy frisch von der Uni gemacht worden, der noch nie gehört hat, dass mit Locking auch Kosten verbunden sind. In Benchmarks von HAProxy sinkt die Performance selbst single-threaded um ein Dritten, multithreaded sogar um Faktor 40.

    Ich wusste, dass es nicht gut ist, aber dass es so schlimm ist, das schockiert mich gerade etwas.

    [0] https://www.haproxy.com/blog/state-of-ssl-stacks

    https://blog.fefe.de/?ts=96de4f71
  • [l] Felix Sun, 11 May 2025 12:00:02 GMT Nr. 155981
    Nicht wirklich überraschend. Scheint aber etwas alt. Debian bekommt dieses Jahr schon OpenSSL 3.5.x.
  • [l] Felix Sun, 11 May 2025 12:57:19 GMT Nr. 155992
    ssl-library-performa[…].png
    PNG 1800×1350 175.5k
    Felix hat das gute Abschneiden von WolfSSL überrascht, das hat Felix immer nur von OpenWrt gekannt. "Läuft schnell auf Embedded" muss nicht unbedingt mit "läuft schnell auf fettem 64-Kern-Servierer" korrelieren.

    Für Felix sind die Bankmarken aber weniger relevant, weil Felix vielleicht mal 5 SSL-Verbindungen pro Sekunde aufmacht. Da wäre geringe Komplexität und dennoch Unterstützung für 0-RTT wichtiger, traurige LibreSSL-Geräusche hier einfügen.
  • [l] Felix Sun, 11 May 2025 13:12:32 GMT Nr. 155994
    Wie inzu OpenSSL ersetzen auf Luniks?
  • [l] Felix Sun, 11 May 2025 13:17:49 GMT Nr. 155996
    >>155994
    Steht doch über dir: WolfSSL verwenden
  • [l] Felix Sun, 11 May 2025 13:18:26 GMT Nr. 155997
    Was soll das Multifredding? Warum macht man nicht für jeden Client einen eigenen Prozeß? Die Daten sollten doch eh getrennt sein.
  • [l] Felix Sun, 11 May 2025 13:21:15 GMT Nr. 155998
    WolfSSL ist sogar GPL. Das kann man den Debianern bestimmt schmackhaft machen.

    > wolfSSL, wolfCrypt, wolfMQTT, wolfTPM, wolfBoot, and wolfSentry software are free software downloads and may be modified to the needs of the user as long as the user adheres to version two of the GPL License. The GPLv2 license can be found on the gnu.org website (http://www.gnu.org/licenses/old-licenses/gpl-2.0.html).
  • [l] Felix Sun, 11 May 2025 13:23:18 GMT Nr. 156000
    Felix benutzt eh nie OpenSSL als Bibliothek, sondern bestenfalls mal das Kommandozeilenwerkzeug, um irgendwas zu konvertieren.

    Der ganze Gnome-GTK-GLib-Desktoplinux-Stack benutzt natürlich GnuTLS.
  • [l] Felix Sun, 11 May 2025 13:27:42 GMT Nr. 156002
    >>156000
    Ergänzung: Firefox und Chromium benutzten beide libnss3.
  • [l] Felix Sun, 11 May 2025 13:31:23 GMT Nr. 156004
    >>156000
    Felix meint dabei seine eigenen Programme. Die benutzen keine OpenSSL-Bibliotheken.

    In den Distros, die er nutzt, kommt natürlich mehr oder weniger OpenSSL zur Ausführung. Könnte man vielleicht chirurgisch entfernen, aber hat er keine Muße zu.
  • [l] Felix Sun, 11 May 2025 15:14:14 GMT Nr. 156031
    >>155980
    >offenbar von einem Informatik-Fuzzy frisch von der Uni
    lel, Neid-fefe detektiert
  • [l] Felix Sun, 11 May 2025 16:29:22 GMT Nr. 156035
    Ach. Ach was. Aber Felix hörte doch seit zehn Jahren, dass LibreSSL nun sinnlos ist, weil OpenSSL ja jetzt wieder foll doll ist und so viel Geld und Leute bekomben hat. Das ist ja komisch. Wie kann das denn sein? War der Expertenkonsensus™ mal wieder gequirlter Bullenkot?
  • [l] Felix Sun, 11 May 2025 16:50:24 GMT Nr. 156037
    Weiß ich nicht.
  • [l] Felix ☎️ Mon, 12 May 2025 07:29:41 GMT Nr. 156063 SÄGE
    >>156036
    >apu beco[…].jpg
    Gibt es as Schlaufon-Lauerer einen Weg den ursprünglichen Dateinamen ganz angezeigt zu bekommen? Am PeZeh ist es Mausüber.
  • [l] Felix Mon, 12 May 2025 08:14:49 GMT Nr. 156064
    >>156063
    Klick auf den Namen statt auf das Bild.
[Zurück]
[c] [meta] [fefe] [erp]
Proudly made without PHP, Java, Perl, MySQL, Postgres, MongoDB and Node.js.
Quellcode