docs/faq-5-misc.txt

   1 #### Miscellaneous
   2
   3 *   Which is the current version of OpenSSL?
   4
   5     The current version is available from https://www.openssl.org.
   6
   7     In addition to the current stable release, you can also access daily
   8     snapshots of the OpenSSL development version at
   9     https://www.openssl.org/source/snapshot/,
  10     or get it by anonymous Git access.
  11
  12 *   Where is the documentation?
  13
  14     OpenSSL is a library that provides cryptographic functionality to
  15     applications such as secure web servers.  Be sure to read the
  16     documentation of the application you want to use.  The INSTALL file
  17     explains how to install this library.
  18
  19     OpenSSL includes a command line utility that can be used to perform a
  20     variety of cryptographic functions.  It is described in the openssl(1)
  21     manpage.  Documentation for developers is currently being written. Many
  22     manual pages are available; overviews of libcrypto and
  23     libssl are given in the crypto(7) and
  24     ssl(7) manpages.
  25
  26     The OpenSSL manpages are installed in /usr/local/ssl/man/ (or a
  27     different directory if you specified one as described in INSTALL).
  28     In addition, you can read the most current versions at
  29     https://www.openssl.org/docs/. Note that the online documents refer
  30     to the very latest development versions of OpenSSL and may include features
  31     not present in released versions. If in doubt refer to the documentation
  32     that came with the version of OpenSSL you are using. The pod format
  33     documentation is included in each OpenSSL distribution under the docs
  34     directory.
  35
  36 *   I need a FIPS validated offering
  37
  38     Please see
  39     https://www.openssl.org/docs/fips.html; the OpenSSL project is no longer
  40     involved in private label validations nor adding platforms to the existing
  41     certificates.
  42
  43 *   How can I contact the OpenSSL developers?
  44
  45     The README file describes how to submit bug reports and patches to
  46     OpenSSL.  Information on the OpenSSL mailing lists is available from
  47     https://www.openssl.org/community/mailinglists.html.
  48
  49 *   Where can I get a compiled version of OpenSSL?
  50
  51     You can find pointers to binary distributions in
  52     https://www.openssl.org/community/binaries.html.
  53
  54     Some applications that use OpenSSL are distributed in binary form.
  55     When using such an application, you don't need to install OpenSSL
  56     yourself; the application will include the required parts (e.g. DLLs).
  57
  58     If you want to build OpenSSL on a Windows system and you don't have
  59     a C compiler, read the "Mingw32" section of INSTALL.W32 for information
  60     on how to obtain and install the free GNU C compiler.
  61
  62     A number of Linux and *BSD distributions include OpenSSL.
  63
  64 *   Why aren't tools like 'autoconf' and 'libtool' or 'cmake' used?
  65
  66     A number of these tools are great and wonderful, but are usually
  67     centered around one or a few platforms.  'autoconf' and 'libtool' are
  68     Unix centric.  'cmake' is a bit more widely spread, but not enough to
  69     cover the platforms we support.
  70
  71     For OpenSSL 1.1, we decided to base our build system on perl,
  72     information files and build file (Makefile) templates, thereby
  73     covering all the systems we support.  Perl was the base language of
  74     choice because we already use it in diverse scripts, and it's one of
  75     the most widely spread scripting languages.
  76
  77 *   How do I check the authenticity of the OpenSSL distribution?
  78
  79     We provide PGP signatures and a variety of digests on each release.
  80     For example, one of the following might work on your system:
  81
  82         sha1sum TARBALL | awk '{print $1;}' | cmp - TARBALL.sha1
  83         sha256sum TARBALL | awk '{print $1;}' | cmp - TARBALL.sha256
  84
  85     You can check authenticity using pgp or gpg. You need the OpenSSL OMC
  86     member public key used to sign it (download it from a key server or see a
  87     list of keys at https://www.openssl.org/community/omc.html). Then
  88     just do:
  89
  90         pgp TARBALL.asc
  91
  92 *   How does the versioning scheme work?
  93
  94     After the release of OpenSSL 1.0.0 the versioning scheme changed. Letter
  95     releases (e.g. 1.0.1a) can only contain bug and security fixes and no
  96     new features. Minor releases change the last number (e.g. 1.0.2) and
  97     can contain new features that retain binary compatibility. Changes to
  98     the middle number are considered major releases and neither source nor
  99     binary compatibility is guaranteed.
 100
 101     Therefore the answer to the common question "when will feature X be
 102     backported to OpenSSL 1.0.0/0.9.8?" is "never" but it could appear
 103     in the next minor release.
 104
 105 *   What happens when the letter release reaches z?
 106
 107     It was decided after the release of OpenSSL 0.9.8y the next version should
 108     be 0.9.8za then 0.9.8zb and so on.
 109
 110 *   Do you have a bug bounty program?
 111
 112     The project does not.  Google runs a program
 113     https://www.google.com/about/appsecurity/patch-rewards/; so does
 114     HackerOne, https://hackerone.com/ibb-openssl. In general, if you
 115     have found a security issue, send email to openssl-security@openssl.org.
 116     Please note that we do not consider DNS configurations or Website
 117     configuration to be security issues.
 118
 119