<div dir="auto">Hi,<div dir="auto"><br></div><div dir="auto">I am able to run an application using libcurl which in turn uses OpenSSL in FIPS mode with following configuration</div><div dir="auto"><br></div><div dir="auto">Help requested</div><div dir="auto">Need opinion from seniors who know OpenSSL and libcurl codebase if following is good from conceptual perspective with respect to OpenSSL, libcurl.</div><div dir="auto"><br></div><div dir="auto">a) Built static libcurl using 'FIPS capable OpenSSL'. These OpenSSL libs were generated earlier as static libraries.</div><div dir="auto"><br></div><div dir="auto">b) In my application, called SSL_Library_Init() followed by FIPS_mode_set() and other APIs to confirm that FIPS mode is on.</div><div dir="auto"><br></div><div dir="auto">c) Added curl API to do http post using the easy interface.</div><div dir="auto"><br></div><div dir="auto">d) Built my application by linking to static libcurl.lib in point (a) and static FIPS capable OpenSSL .libs.</div><div dir="auto"><br></div><div dir="auto">3) Wireshark shows +be result.</div><div dir="auto"><br></div><div dir="auto">Questions -</div><div dir="auto"><br></div><div dir="auto">Q1) Conceptually, can libcurl work using the CipherSuites selected by FIPS capable OpenSSL in the above example?</div><div dir="auto"><br></div><div dir="auto">Thus, can we say that libcurl will always be using CipherSuites selected by the FIPS capable OpenSSL and thus is FIPS compliant.?</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Q2) Or are changes to libcurl source code an absolute must to run it in FIPS compliant mode for above configuration.</div><div dir="auto"><br></div><div dir="auto">Appreciate all inputs.</div><div dir="auto">Regards.</div></div>