<p dir="ltr"></p>
<p dir="ltr">On Nov 29, 2016 11:00 AM, "Salz, Rich" <<a href="mailto:rsalz@akamai.com">rsalz@akamai.com</a>> wrote:<br>
><br>
> Tens of thousands of individual developers and sysadmins have downloaded, built, and installed OpenSSL.  A handful of distributions also do that, and bundle it with their release. For a variety of understandable reasons, said distro's are always out of date.<br>
><br>
> > Real developers are not generally crypto geeks.  They need an alarm bell like this to go off to let them know when something is wrong.<br>
><br>
> And if the alarm bell is "apache won't start" they will throw out openssl or swamp us with email or perhaps fall back to plaintext.<br>
><br>
> Servers do not have keyboards or screens that can be scraped for a source of entropy.</p>
<p dir="ltr">They have RDRAND. Silent failure is not a good idea. Can any user of OpenSSL be sure the random number generator is properly set up?<br>
><br>
> --<br>
> Senior Architect, Akamai Technologies<br>
> Member, OpenSSL Dev Team<br>
> IM: <a href="mailto:richsalz@jabber.at">richsalz@jabber.at</a> Twitter: RichSalz<br>
><br>
> _______________________________________________<br>
> The cryptography mailing list<br>
> <a href="mailto:cryptography@metzdowd.com">cryptography@metzdowd.com</a><br>
> <a href="http://www.metzdowd.com/mailman/listinfo/cryptography">http://www.metzdowd.com/mailman/listinfo/cryptography</a><br></p>