<div dir="ltr">I have no vested interest in this, other than the continuing work we have done to make Jython compatible with OpenSSL's model, warts and all.<div><br></div><div>But the fact that BoringSSL cleans up the OpenSSL API (<a href="https://boringssl.googlesource.com/boringssl/+/HEAD/PORTING.md">https://boringssl.googlesource.com/boringssl/+/HEAD/PORTING.md</a>), at the cost of possible backwards breaking API changes looks reasonable. I suppose there is some risk - perhaps the maintainers will decide that returning 1 should mean OK, but that's not going to happen, is it. The real issue here is that no direct exposure of BoringSSL to other packages. I don't think that happens with CPython. (Ironically it happens with Jython, due to how signed jars poorly interact with shading/Java namespace remapping.)</div><div><br></div><div>Maintaining security means dealing with the inevitable churn. Did I mention Jython's support of Python-compatible SSL? I think I did :p</div><div><br></div><div>- Jim</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 14, 2016 at 6:06 PM, Gregory P. Smith <span dir="ltr"><<a href="mailto:greg@krypto.org" target="_blank">greg@krypto.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_quote"><span class=""><div dir="ltr">On Mon, Mar 14, 2016 at 4:56 PM Nathaniel Smith <<a href="mailto:njs@pobox.com" target="_blank">njs@pobox.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Should people outside google pay attention to boringssl? The first<br>
thing it says on the website is:<br>
<br>
"Although BoringSSL is an open source project, it is not intended for<br>
general use, as OpenSSL is. We don’t recommend that third parties<br>
depend upon it. Doing so is likely to be frustrating because there are<br>
no guarantees of API or ABI stability."<br></blockquote><div><br></div></span><div>Heh, good point.  I guess not.  :)</div><div><div class="h5"><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
On Mon, Mar 14, 2016 at 4:40 PM, Gregory P. Smith <<a href="mailto:greg@krypto.org" target="_blank">greg@krypto.org</a>> wrote:<br>
> Don't forget BoringSSL.<br>
><br>
> On Wed, Mar 9, 2016 at 9:30 AM Michael Felt <<a href="mailto:mamfelt@gmail.com" target="_blank">mamfelt@gmail.com</a>> wrote:<br>
>><br>
>> Can look at it. There has been a lot of discussion, iirc, between OpenSSL<br>
>> and LibreSSL re: version identification.<br>
>> Thx for the reference.<br>
>><br>
>><br>
>> On 08-Mar-16 14:55, Hasan Diwan wrote:<br>
>><br>
>><br>
>> On 8 March 2016 at 00:49, Michael Felt <<a href="mailto:michael@felt.demon.nl" target="_blank">michael@felt.demon.nl</a>> wrote:<br>
>>><br>
>>> As a relative newcomer I may have missed a long previous discussion re:<br>
>>> linking with OpenSSL and/or LibreSSL.<br>
>>> In an ideal world this would be rtl linking, i.e., underlying<br>
>>> complexities of *SSL libraries are hidden from applications.<br>
>>><br>
>>> In short, when I saw this <a href="http://bugs.python.org/issue26465" rel="noreferrer" target="_blank">http://bugs.python.org/issue26465</a> Title:<br>
>>> Upgrade OpenSSL shipped with python installers, it reminded me I need to<br>
>>> start looking at LibreSSL again - and that, if not already done - might be<br>
>>> something "secure" for python as well.<br>
>><br>
>><br>
>> According to the libressl website, one of the projects primary goals is to<br>
>> remain "backwards-compatible with OpenSSL", which is to say, to either have<br>
>> code work without changes or to fail gracefully when it uses the deprecated<br>
>> bits. It does seem it ships with OpenBSD. There is an issue open on bugs to<br>
>> address whatever incompatibilities remain between LibreSSL and OpenSSL[1].<br>
>> Perhaps you might want to take a look at that? -- H<br>
>> 1. <a href="https://bugs.python.org/issue23177" rel="noreferrer" target="_blank">https://bugs.python.org/issue23177</a><br>
>>><br>
>>><br>
>>> Michael<br>
>>> _______________________________________________<br>
>>> Python-Dev mailing list<br>
>>> <a href="mailto:Python-Dev@python.org" target="_blank">Python-Dev@python.org</a><br>
>>> <a href="https://mail.python.org/mailman/listinfo/python-dev" rel="noreferrer" target="_blank">https://mail.python.org/mailman/listinfo/python-dev</a><br>
>>> Unsubscribe:<br>
>>> <a href="https://mail.python.org/mailman/options/python-dev/hasan.diwan%40gmail.com" rel="noreferrer" target="_blank">https://mail.python.org/mailman/options/python-dev/hasan.diwan%40gmail.com</a><br>
>><br>
>><br>
>><br>
>><br>
>> --<br>
>> OpenPGP: <a href="http://hasan.d8u.us/gpg.asc" rel="noreferrer" target="_blank">http://hasan.d8u.us/gpg.asc</a><br>
>> Sent from my mobile device<br>
>> Envoyé de mon portable<br>
>><br>
>><br>
>> _______________________________________________<br>
>> Python-Dev mailing list<br>
>> <a href="mailto:Python-Dev@python.org" target="_blank">Python-Dev@python.org</a><br>
>> <a href="https://mail.python.org/mailman/listinfo/python-dev" rel="noreferrer" target="_blank">https://mail.python.org/mailman/listinfo/python-dev</a><br>
>> Unsubscribe:<br>
>> <a href="https://mail.python.org/mailman/options/python-dev/greg%40krypto.org" rel="noreferrer" target="_blank">https://mail.python.org/mailman/options/python-dev/greg%40krypto.org</a><br>
><br>
><br>
> _______________________________________________<br>
> Python-Dev mailing list<br>
> <a href="mailto:Python-Dev@python.org" target="_blank">Python-Dev@python.org</a><br>
> <a href="https://mail.python.org/mailman/listinfo/python-dev" rel="noreferrer" target="_blank">https://mail.python.org/mailman/listinfo/python-dev</a><br>
> Unsubscribe:<br>
> <a href="https://mail.python.org/mailman/options/python-dev/njs%40pobox.com" rel="noreferrer" target="_blank">https://mail.python.org/mailman/options/python-dev/njs%40pobox.com</a><br>
><br>
<br>
<br>
<br>
--<br>
Nathaniel J. Smith -- <a href="https://vorpus.org" rel="noreferrer" target="_blank">https://vorpus.org</a><br>
</blockquote></div></div></div></div>
<br>_______________________________________________<br>
Python-Dev mailing list<br>
<a href="mailto:Python-Dev@python.org">Python-Dev@python.org</a><br>
<a href="https://mail.python.org/mailman/listinfo/python-dev" rel="noreferrer" target="_blank">https://mail.python.org/mailman/listinfo/python-dev</a><br>
Unsubscribe: <a href="https://mail.python.org/mailman/options/python-dev/jbaker%40zyasoft.com" rel="noreferrer" target="_blank">https://mail.python.org/mailman/options/python-dev/jbaker%40zyasoft.com</a><br>
<br></blockquote></div><br></div>