<div dir="ltr"><span style="font-size:13px">Thanks Steve.</span><div style="font-size:13px"><br></div><div style="font-size:13px">I think the way to use OPENSSL_config() and openssl.conf to enable FIPS mode basically still requires each application to explicitly invoke OPENSSL_config() API in order to truly enable the <span class="">FIPS</span> mode, is that correct?</div><div style="font-size:13px"><br></div><div style="font-size:13px">If that's the case, then basically there's no way to really globally enable the <span class="">FIPS</span> mode in the OpenSSL library in a system-wide way, so that all the applications which use OpenSSL (libcrypto to be more specific) will be running under <span class="">FIPS</span> mode by default (i.e. without the needs of modification tomake them invoke either OPENSSL_config() or FIPS_mode_set() API). Is that correct?</div><div style="font-size:13px"><br></div><div style="font-size:13px">The reason I ask was mainly because I am evaluating how I should modify my server platform and applications in order to adapt <span class="">FIPS</span> capable OpenSSL library into the platform.</div><div style="font-size:13px"><br></div><div style="font-size:13px">Thanks and any suggestions are greatly appreciated.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 1, 2016 at 1:35 PM, security veteran <span dir="ltr"><<a href="mailto:security.veteran@gmail.com" target="_blank">security.veteran@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Thanks Steve.<div><br></div><div>I think the way to use <span style="font-size:13px">OPENSSL_config() and openssl.conf basically still requires each application to explicitly invoke OPENSSL_config() API in order to truly enable the FIPS mode, is that correct?</span></div><div><span style="font-size:13px"><br></span></div><div><span style="font-size:13px">If that's the case, then basically there's no way to really globally enable the FIPS mode in the OpenSSL library in a system-wide way</span><span style="font-size:13px">,</span><span style="font-size:13px"> so that all the applications which use OpenSSL (</span>libcrypto to be more specific) will be running under FIPS mode by default (i.e. <span style="font-size:13px">without the needs of modification tomake them invoke either </span><span style="font-size:13px">OPENSSL_config()</span><span style="font-size:13px"> or FIPS_mode_set() API</span>). Is that correct?</div><div><br></div><div>The reason I ask was mainly because I am evaluating how I should modify my server platform and applications in order to adapt FIPS capable OpenSSL library into the platform.</div><div><br></div><div>Thanks and I truly appreciate your answers and helps.</div><div><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jan 29, 2016 at 6:31 AM, Steve Marquess <span dir="ltr"><<a href="mailto:marquess@openssl.com" target="_blank">marquess@openssl.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On 01/28/2016 07:11 PM, security veteran wrote:<br>
> Hi All:<br>
><br>
> Is there a way to enable FIPS mode globally, instead of having to<br>
> explicitly invoke the FIPS_mode_set() API from each application, for<br>
> enabling the FIPS mode?<br>
><br>
</span>> ...<br>
<br>
Kinda-sorta, via OPENSSL_config() and openssl.conf. See the FIPS user<br>
guide, <a href="https://openssl.org/docs/fips/UserGuide-2.0.pdf" rel="noreferrer" target="_blank">https://openssl.org/docs/fips/UserGuide-2.0.pdf</a>, section 5.2.<br>
<br>
-Steve M.<br>
<br>
--<br>
Steve Marquess<br>
OpenSSL Software Foundation<br>
1829 Mount Ephraim Road<br>
Adamstown, MD  21710<br>
USA<br>
<a href="tel:%2B1%20877%20673%206775" value="+18776736775" target="_blank">+1 877 673 6775</a> s/b<br>
<a href="tel:%2B1%20301%20874%202571" value="+13018742571" target="_blank">+1 301 874 2571</a> direct<br>
<a href="mailto:marquess@openssl.com" target="_blank">marquess@openssl.com</a><br>
gpg/pgp key: <a href="http://openssl.com/docs/0x6D1892F5.asc" rel="noreferrer" target="_blank">http://openssl.com/docs/0x6D1892F5.asc</a><br>
_______________________________________________<br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-users</a><br>
</blockquote></div><br></div></div></div></div>
</blockquote></div><br></div>