我什么时候需要在OpenSSL中使用zlib？

Question

有些网站用zlib描述了OpenSSL的配置和制作,而我可以在没有zlib的情况下完成.

这意味着在某些情况下,openSSL不需要zlib.

有谁告诉我OpenSSL在压缩或解压缩的情况下是什么情况？

@JakeGould的答案很有用.我想知道如何使用-z或不使用-z？

Answer 1

@JakeGould的答案很有用.我想知道如何使用-z或不使用-z？

这很简单.压缩泄漏,如HTTPS和SPDY协议的信息,所以你应该不使用它.由于您不应该使用它,因此没有理由配置它.见Rizzo和Duong的CRIME攻击.

还有另一种选择configure,你可能有兴趣no-comp.它独立于禁用压缩zlib.

有谁告诉我OpenSSL在压缩或解压缩的情况下是什么情况？

默认情况下,除非在编译时或运行时禁用压缩,否则将启用压缩.如果压缩是可用的,那么你必须在与运行时将其禁用SSL_OP_NO_COMPRESSION上下文选项:

const SSL_METHOD* method = SSLv23_method();
if(method == NULL) handleFailure();

ctx = SSL_CTX_new(method);
if(ctx == NULL) handleFailure();

const long flags = SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3 | SSL_OP_NO_COMPRESSION;
SSL_CTX_set_options(ctx, flags);

为了完整起见,Firefox不支持压缩.Firefox的配置过去是开箱即用的,因此浏览器不容易受到压缩攻击.请参阅错误报告,使用TLS zlib压缩代码构建NSS并添加security.ssl.enable_compression首选项以启用它.

Answer 2

手册上答案是正确的。它与选项相关-z：

\n

\n

\xe2\x80\x9c 在加密之前或解密之后使用 zlib 压缩或解压缩明文。仅当使用 zlib 或 zlib-dynamic 选项编译 OpenSSL 时，此选项才存在。\xe2\x80\x9d

\n

\n