docs/faq-5-misc.txt

   1 Miscellaneous
   2
   3 * Which is the current version of OpenSSL?
   4
   5 The current version is available from @@@https://www.openssl.org@@@.
   6
   7 In addition to the current stable release, you can also access daily
   8 snapshots of the OpenSSL development version at
   9 @@@https://www.openssl.org/source/snapshot/@@@,
  10 or get it by anonymous Git access.
  11
  12 * Where is the documentation?
  13
  14 OpenSSL is a library that provides cryptographic functionality to
  15 applications such as secure web servers.  Be sure to read the
  16 documentation of the application you want to use.  The INSTALL file
  17 explains how to install this library.
  18
  19 OpenSSL includes a command line utility that can be used to perform a
  20 variety of cryptographic functions.  It is described in the openssl(1)
  21 manpage.  Documentation for developers is currently being written. Many
  22 manual pages are available; overviews of libcrypto and
  23 libssl are given in the crypto(7) and
  24 ssl(7) manpages.
  25
  26 The OpenSSL manpages are installed in /usr/local/ssl/man/ (or a
  27 different directory if you specified one as described in INSTALL).
  28 In addition, you can read the most current versions at
  29 @@@https://www.openssl.org/docs/@@@. Note that the online documents refer
  30 to the very latest development versions of OpenSSL and may include features
  31 not present in released versions. If in doubt refer to the documentation
  32 that came with the version of OpenSSL you are using. The pod format
  33 documentation is included in each OpenSSL distribution under the docs
  34 directory.
  35
  36 * I need a FIPS validated offering
  37
  38 Please see
  39 @@@https://www.openssl.org/docs/fips.html@@@; the OpenSSL project is no longer
  40 involved in private label validations nor adding platforms to the existing
  41 certificates.
  42
  43 * How can I contact the OpenSSL developers?
  44
  45 The README file describes how to submit bug reports and patches to
  46 OpenSSL.  Information on the OpenSSL mailing lists is available from
  47 @@@https://www.openssl.org/community/mailinglists.html@@@.
  48
  49 * Where can I get a compiled version of OpenSSL?
  50
  51 You can finder pointers to binary distributions in
  52 @@@https://www.openssl.org/community/binaries.html@@@ .
  53
  54 Some applications that use OpenSSL are distributed in binary form.
  55 When using such an application, you don't need to install OpenSSL
  56 yourself; the application will include the required parts (e.g. DLLs).
  57
  58 If you want to build OpenSSL on a Windows system and you don't have
  59 a C compiler, read the "Mingw32" section of INSTALL.W32 for information
  60 on how to obtain and install the free GNU C compiler.
  61
  62 A number of Linux and *BSD distributions include OpenSSL.
  63
  64 * Why aren't tools like 'autoconf' and 'libtool' or 'cmake' used?
  65
  66 A number of these tools are great and wonderful, but are usually
  67 centered around one or a few platforms.  'autoconf' and 'libtool' are
  68 Unix centric.  'cmake' is a bit more widely spread, but not enough to
  69 cover the platforms we support.
  70
  71 For OpenSSL 1.1, we decided to base our build system on perl,
  72 information files and build file (Makefile) templates, thereby
  73 covering all the systems we support.  Perl was the base language of
  74 choice because we already use it in diverse scripts, and it's one of
  75 the most widely spread scripting languages.
  76
  77 * How do I check the authenticity of the OpenSSL distribution?
  78
  79 We provide PGP signatures and a variety of digests on each release.
  80 For example, one of the following might work on your system:
  81
  82 <PRE>
  83     sha1sum TARBALL | awk '{print $1;}' | cmp - TARBALL.sha1
  84     sha256sum TARBALL | awk '{print $1;}' | cmp - TARBALL.sha256
  85 </PRE>
  86
  87 You can check authenticity using pgp or gpg. You need the OpenSSL OMC
  88 member public key used to sign it (download it from a key server or see a
  89 list of keys at @@@https://www.openssl.org/community/omc.html@@@). Then
  90 just do:
  91
  92 <PRE>
  93     pgp TARBALL.asc
  94 </PRE>
  95
  96 * How does the versioning scheme work?
  97
  98 After the release of OpenSSL 1.0.0 the versioning scheme changed. Letter
  99 releases (e.g. 1.0.1a) can only contain bug and security fixes and no
 100 new features. Minor releases change the last number (e.g. 1.0.2) and
 101 can contain new features that retain binary compatibility. Changes to
 102 the middle number are considered major releases and neither source nor
 103 binary compatibility is guaranteed.
 104
 105 Therefore the answer to the common question "when will feature X be
 106 backported to OpenSSL 1.0.0/0.9.8?" is "never" but it could appear
 107 in the next minor release.
 108
 109 * What happens when the letter release reaches z?
 110
 111 It was decided after the release of OpenSSL 0.9.8y the next version should
 112 be 0.9.8za then 0.9.8zb and so on.
 113
 114 * Do you have a bug bounty program?
 115
 116 The project does not.  Google runs a program
 117 @@@https://www.google.com/about/appsecurity/patch-rewards/@@@; so does
 118 HackerOne, @@@https://hackerone.com/ibb-openssl@@@. In general, if you
 119 have found a security issue, send email to openssl-security@openssl.org.
 120 Please note that we do not consider DNS configurations or Website
 121 configuration to be security issues.
 122