Is there a build flag or a ./configure-time autodetection that would allow for supporting LibreSSL while they port X509_VERIFY_PARAM_set1_host?<br><br>On Thursday, January 18, 2018, Christian Heimes <<a href="mailto:christian@python.org">christian@python.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2018-01-16 21:17, Christian Heimes wrote:<br>
> FYI, master on Travis CI now builds and uses OpenSSL 1.1.0g [1]. I have<br>
> created a daily cronjob to populate Travis' cache with OpenSSL builds.<br>
> Until the cache is filled, Linux CI will take an extra 5 minute.<br>
<br>
I have messed up my initial research. :( When I was checking LibreSSL<br>
and OpenSSL for features, I draw a wrong conclusion. LibreSSL is *not*<br>
OpenSSL 1.0.2 compatible. It only implements some of the required<br>
features from 1.0.2 (e.g. X509_check_hostname) but not<br>
X509_VERIFY_PARAM_set1_host.<br>
<br>
X509_VERIFY_PARAM_set1_host() is required to perform hostname<br>
verification during the TLS handshake. Without the function, I'm unable<br>
to fix Python's hostname matching code [1]. LibreSSL upstream knows<br>
about the issue since 2016 [2]. I have opened another bug report [3].<br>
<br>
We have two options until LibreSSL has addressed the issue:<br>
<br>
1) Make the SSL module more secure, simpler and standard conform<br>
2) Support LibreSSL<br>
<br>
I started a vote on Twitter [4]. So far most people prefer security.<br>
<br>
Christian<br>
<br>
[1] <a href="https://bugs.python.org/issue31399" target="_blank">https://bugs.python.org/<wbr>issue31399</a><br>
[2] <a href="https://github.com/pyca/cryptography/issues/3247" target="_blank">https://github.com/pyca/<wbr>cryptography/issues/3247</a><br>
[3] <a href="https://github.com/libressl-portable/portable/issues/381" target="_blank">https://github.com/libressl-<wbr>portable/portable/issues/381</a><br>
[4] <a href="https://twitter.com/reaperhulk/status/953991843565490176" target="_blank">https://twitter.com/<wbr>reaperhulk/status/<wbr>953991843565490176</a><br>
<br>
______________________________<wbr>_________________<br>
Python-Dev mailing list<br>
<a href="mailto:Python-Dev@python.org">Python-Dev@python.org</a><br>
<a href="https://mail.python.org/mailman/listinfo/python-dev" target="_blank">https://mail.python.org/<wbr>mailman/listinfo/python-dev</a><br>
Unsubscribe: <a href="https://mail.python.org/mailman/options/python-dev/wes.turner%40gmail.com" target="_blank">https://mail.python.org/<wbr>mailman/options/python-dev/<wbr>wes.turner%40gmail.com</a><br>
</blockquote>