Lmst

“AWS-LC looks like a very active project with a strong community. […] Even the recently reported performance issue was quickly fixed and released with the next version. […] This is definitely a library that anyone interested in the topic should monitor.”

#OpenSSL #BoringSSL #WolfSSL #AWSLC #HAProxy #OpenSource #FreeSoftware #FOSS #OSS #TLS #QUIC
https://www.haproxy.com/blog/state-of-ssl-stacks

Trying out the Post-Quantum TLS feature (called ML-KEM) in #OpenSSL 3.5-beta1 and #Tor was a success! 🥳

The experiment is using the same setup as we did with #BoringSSL back when they enabled the Kyber768/x25519 TLS 1.3 group: we use a Tor binary, compiled against a PQC-enabled lib(ssl|crypto), to run a Bridge Server locally and connect a local Bridge Client to the server.

The branch used for this experiment is available from https://gitlab.torproject.org/ahf/tor/-/commits/ahf/openssl-3.5-pqc-experiments

Terminal output showing console debug output from a Tor client connecting to a Tor bridge using the TLS 1.3 x25519/mlkem768 group.

#GNOME Web is truly independent from #Google. Though still dependent on #Apple, they don't have as much power as Google. It is still better than a Google monopoly. And #webkit is developed with proper APIs and meant to be embedded in other applications unlike Google's #blink.

One big feature missing is support for audio / video calls (webrtc). With #BoringSSL switching to Apache 2.0, a big blocker for webrtc support is resolved.

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1101132

#mozilla #firefox #epiphany

Rustls Multi-Threaded Performance Is Battering OpenSSL

#boringssl #openssl #rustlang #ssl #tls

https://www.phoronix.com/news/Rustls-Multi-Threading-Perf?utm_medium=erik.in&utm_source=mastodon

Обновился #OpenSSL до 3.4.0 и опять без полноценной нормальной поддержки #QUIC, т.е. непригодный для #HTTP/3 на серверной стороне. И, соответственно, ещё не ясно на сколько хорошо сделана клиентская часть :)
Аж вспомнились времена, когда желая получить #curl поддерживающий нормально работу #HTTP/3 приходилось собирать его из исходников с аналогами/форками #OpenSSL.

#HTTP/3 работает не через tcp-соединения, а использует в качестве транспорта протокол QUIC (Quick UDP Internet Connections), т.е. передаёт данные поверх udp без использования абстракций и сущностей tcp. Вот картинка про современный #HTTP

Сам по себе #QUIC не умеет передавать данные в открытом виде, а может только через #TLS v1.3, т.е. в обязательном порядке только зашифрованные. Тем самым в QUIC используется встроенный вариант TLS 1.3 крайне близкий/схожий с #DTLS, поскольку работа протокола идёт на уровне обмена udp-пакетами, а не tcp-соединений.

#curl может использовать разные альтернативы OpenSSL, т.к. изначально спроектирован таким образом, что не завязан именно на OpenSSL:

Есть официальная документация что и как с бэкендами вообще.
Рядом, примерно там же имеется сравнение разных криптографических бэкендов.

Что предлагают по HTTP/3 авторы curl?
Вот зелёным выделена комбинация библиотек, которую полагают наиболее стабильным и полноценным вариантом
Вся загвоздка в том, что #OpenSSL пытается содержать в себе реализацию #QUIC, а не использует реализацию в виде какой-то библиотеки.

Что получается в целом?
Протокол #HTTP/3 реализуется через библиотеку #nghttp3.
Необходимая реализация #QUIC через #ngtcp2.
А для TLS используется #GnuTLS или же #wolfSSL или что-то ещё:

The OpenSSL forks #LibreSSL, #BoringSSL, #AWS-LC and #quictls support the QUIC API that #curl works with using #ngtcp2.

Вот из документация примеры и детали по сборке этих составляющих. Если выбрана #GnuTLS и в системе версия далёкая от свежих, то сама она довольно быстро собирается из исходников.

В целом, вообще, про варианты добавления поддержки #HTTP/3 очень достойно расписано здесь. И есть перевод этой публикации на русском языке.

#https #http #openssl #softwaredevelopment #lang_ru @Russia

Rust-Written #Rustls Now Reportedly Outperforming #OpenSSL & #BoringSSL

https://www.phoronix.com/news/Rustls-Faster-Than-OpenSSL

#Chrome and #BoringSSL now supports ML-KEM PQ #cryptography: https://security.googleblog.com/2024/09/a-new-path-for-kyber-on-web.html kw: hybrid post-quantum key exchange, #HTTPS, #TLS, Kyber

I'm looking for a document that describes the reaction of OpenSSL after Heartbleed until recent years. What has happened? Redesign? Refactorings?

Is OpenSSL 3 a designed in a better way? Or is it still the dumpster fire it once was?

#openssl #libressl #boringssl #hearbleed

EDIT: I'm looking for a summary, not a wealth of change logs and commits.

@birnim@fosstodon.org I developed an app using #pyqtdeploy and #Kirigami a few years ago.
One limitation I noticed that however which Python Qt API limits you to access Qt's Android API's
that you have to use because of Android's interaction with files.
In general you are more limited when having to call Java API's.
The other thing was that Androids #openssl fork #boringssl was a limitation if your Qt is build with
openssl.
A smaller issue was to setup scripts for building and bootstrapping.