Tener una dirección conocida no es un gran riesgo. La única medida de seguridad que derrota es ASLR , y ASLR es simplemente una técnica para hacer que los exploits sean más difíciles, rara vez los hace imposible.
¡La mejor defensa contra ataques no es tener una vulnerabilidad en primer lugar!
Esta , no la dirección fija, es la razón por la que el uso de una versión de OpenSSL certificada por FIPS es perjudicial para la seguridad. A medida que se descubren inevitablemente nuevos errores, los usuarios deben parchearlos lo más rápido posible, antes de que salgan las vulnerabilidades. Tan pronto como haya solucionado el error, ya no estará ejecutando una versión certificada. Si necesitó la certificación en primer lugar, deberá esperar una versión certificada con la corrección de errores, que generalmente toma meses si el proveedor incluso se molesta en hacer una.
Dado que la certificación FIPS de OpenSSL no es realmente una certificación de seguridad (el nivel 1 de FIPS 140 es poco más que una verificación de que las funciones se calculan correctamente, los aspectos de seguridad son prácticamente nulos), la única razón para usar la versión FIPS en lugar de la última versión estable es si tiene que marcar la casilla de verificación "FIPS validado" en un formulario de compra.