Nach den groben Bugs in OpenSSL starteten die OpenBSD-Entwickler mit LibreSSL eine unabh�ngige Implementierung. Jetzt geht auch Google mit einem eigenen Projekt auf Distanz zu OpenSSL.
Schon geraume Zeit pflegt Google einen Satz eigener Patches f�r OpenSSL. Letztlich will Google die in seinem Browser Chrome verwendete Mozilla-SSL-Technik (NSS) ersetzen [1]. Die Patches jedoch flie�en nicht alle in die offizielle Entwicklung zur�ck. Ein Teil der �nderungen vertrugen sich nicht mit den Versuchen der OpenSSL-Entwickler, API und ABI stabil zu halten; manche sch�tzt Google selbst als zu experimentell ein. Das schreibt Google-Mitarbeiter Adam Langley in seinem Weblog [2].
Andererseits greifen Google-Projekte wie Android und Chrome zunehmend auf die Google-Erg�nzungen zur�ck. Allein deshalb blieb Android von der Heartbeat-L�cke zumeist verschont [3]. Die Entwickler haben sich deshalb entschlossen, die Art und Weise zu �ndern, in der sie die Erg�nzungen realisieren: Bisher haben sie diese an eine neue OpenSSL-Version angepasst (Rebase). Zuk�nftig wollen sie statt dessen �nderungen an OpenSSL in die eigene Code-Basis einpassen
Dadurch ensteht neben OpenSSL und LibreSSL [4] die dritte SSL-Implementierung, wobei die Google-Variante anders als LibreSLL nicht als 1:1-Ersatz dienen soll. Sie l�uft unter dem Namen BoringSSL. Google will weiterhin Korrekturen an den OpenSSL-Entwickler zur�ckgeben und mit den LibreSSL-Entwicklern eng zusammenarbeiten. Der Code soll unter ISC-Lizenz stehen (einer abgewandelten BSD-Lizenz, unter anderem f�r BIND und OpenBSD).
Den BoringSSL-Code gibt es auf googlesource.com bereits als Git-Repository [5]. Google-Entwickler Langley berichtet in seinem Blog, dass der Code demn�chst auch Bestandteil des Chromium-Repositorys werden soll, sp�ter auch von Android und Teil weiterer interner Projekte. Er untermauert, dass der SSL-Fork OpenSSL auch langfristig nicht ersetzen soll. (ps [6])
Keine Kommentare:
Kommentar veröffentlichen