<html dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="text-align:left; direction:ltr;">
<div><br>
</div>
<div>Thanks for the info.</div>
<div><br>
</div>
<div>You mean both libssl.a and libcrypto.a static, and then dynamically loaded fips.so, correct? Unfortunately that gets away from the single-binary-executable model and so is a somewhat major change.</div>
<div><br>
</div>
<div><br>
</div>
<div>-----Original Message-----</div>
<div><b>From</b>: Matt Caswell <<a href="mailto:Matt%20Caswell%20%3cmatt@openssl.org%3e">matt@openssl.org</a>></div>
<div><b>To</b>: <a href="mailto:openssl-users@openssl.org">openssl-users@openssl.org</a></div>
<div><b>Subject</b>: [EXTERNAL] Re: Static OpenSSL 3 library with FIPS</div>
<div><b>Date</b>: Fri, 25 Mar 2022 20:22:02 +0000</div>
<div><br>
</div>
<pre><br></pre>
<pre>On 25/03/2022 18:33, Paul Spencer wrote:</pre>
<blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex">
<pre>Q: Is it possible to have a static (.a) OpenSSL 3 library with FIPS support?</pre>
<pre><br></pre>
<pre>This was possible with OpenSSL 1.0.2 and the FIPS 2.0.x module (and </pre>
<pre>special linking in the Makefile). However, with SSL3, if I go</pre>
<pre><br></pre>
<pre>Configure no-module enable-fips</pre>
<pre><br></pre>
<pre>then it silently disables FIPS. Is there any way to do this?</pre>
<pre><br></pre>
</blockquote>
<pre><br></pre>
<pre>You can have a static libcrypto (.a) with a dynamically loaded FIPS </pre>
<pre>module (i.e. using fips.so).</pre>
<pre><br></pre>
<pre>Configure no-shared enable-fips</pre>
<pre><br></pre>
<pre>You cannot have a statically linked FIPS module. It was a day 1 design </pre>
<pre>decision that we would no longer support this.</pre>
<pre><br></pre>
<pre>Matt</pre>
</body>
</html>