<div dir="ltr">FIPS mode is a policy decision in my opinion also but since RedHat prides itself in security e.g. SELinux, etc. I believe that is a RedHat decision as opposed to the OpenSSL community. The alternative would be to use a different Linux distro like Ubuntu, etc. which does not compile their OpenSSL with FIPS enabled natively to support legacy algorithms.<div><br></div><div><b><i>FYI I am not speaking on behalf of RedHat or OpenSSL.</i></b> This is all conjecture and my 2 cents :-)</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 27, 2017 at 3:15 PM, Jeffrey Walton <span dir="ltr"><<a href="mailto:noloader@gmail.com" target="_blank">noloader@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">>> I don't know offhand which OpenSSL versions did away with MD5, but you<br>
>> *can* install an 0.9.8e (+ RHEL/CentOS backported security patches)<br>
>> straight off CentOS 7 repos:<br>
><br>
> Ugh. No need for 0.9.8e (which is from, what, the early Industrial Revolution?). MD5 is still available in OpenSSL 1.0.2, assuming it wasn't disabled in the build configuration. I think Stuart is dealing with an OpenSSL build that had MD5 disabled in the Configure step.<br>
><br>
> Heck, MD4 and MDC2 are still available in 1.0.2 - even with the default configuration, I believe. I'm looking at 1.0.2j here and it has GOST, MD4, MD5, MDC2, RIPEMD-60, SHA, SHA1, SHA-2 (all standard lengths), and Whirlpool.<br>
<br>
</span>Some of those algorithms may still needed for some use cases. For<br>
example, Apple still ships (or used to ship until recently) some<br>
certificates that use MD2. They were present in iOS 7 and 8. Also see<br>
<a href="http://seclists.org/fulldisclosure/2013/Sep/184" rel="noreferrer" target="_blank">http://seclists.org/<wbr>fulldisclosure/2013/Sep/184</a>.<br>
<br>
I think the best OpenSSL can for now is allow those who don't need<br>
antique algorithms to disable them at compile time. Otherwise, OpenSSL<br>
is making policy decisions that may not work well for some folks.<br>
<br>
Jeff<br>
<div class="HOEnZb"><div class="h5">--<br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/<wbr>mailman/listinfo/openssl-users</a><br>
</div></div></blockquote></div><br></div>