Programmering

Efter Heartbleed: 4 OpenSSL-alternativer, der fungerer

Ingen har brug for at blive mindet om sværhedsgraden af ​​Heartbleed OpenSSL bug. Snarere søger folk løsninger: hvordan man løser det nu, og hvordan man forhindrer en lignende begivenhed i fremtiden. Til det formål er det værd at se ud over OpenSSL og huske på, at det er et af flere konkurrerende softwareprojekter, der tilfredsstiller mange af de samme behov.

Første kandidat: Mozillas bibliotekfamilie Network Security Services (NSS), tilgængelig under flere licensordninger og med en forholdsvis regelmæssig udgivelsescyklus, den sidste debut i midten af ​​marts 2014. Forudsigeligt er Mozillas egne applikationer - Firefox, Mozilla Suite, Thunderbird - - alle bruger det, men det gør også en række velkendte tredjepartsapplikationer: AOL Instant Messenger og mange tredjepartsklienter til tjenesten; OpenOffice.org 2.0; og adskillige Red Hat-serverprodukter såsom Red Hat Directory Server og mod_nss til Apache httpd-webserveren.

NSS er især attraktivt i mod_nss, da sidstnævnte inkluderer understøttelse af certifikat tilbagekaldelseslister - en af ​​et antal nøglemekanismer til bedre at beskytte gyldigheden af ​​certifikatet. Det fungerer også hånd i hånd med et andet Apache-modul, mod_revocator, som gør det muligt at behandle tilbagekaldelseslister automatisk uden at genstarte httpd.

En anden mulighed: GnuTLS, som har bred understøttelse af mange forskellige protokoller og standarder og er tilgængelig under en relativt liberal licensordning (LGPL 2.0), der gør det muligt at bruge den i lukkede kildeapplikationer. Det opdateres også ganske regelmæssigt; den sidste stabile udgivelse var version 3.3.0, som kom ud den 10. april 2014. GnuTLS blev faktisk oprettet som svar på OpenSSLs GPL-inkompatible Apache- og BSD-licensordninger.

Endnu andre implementeringer bugner: Polar SSL, tilgængelig i både open source og kommercielt licenserede versioner, og MatrixSSL, også multilicenseret og bygget til indlejrede applikationer.

Servere er ikke den eneste grund til at tænke hårdt på erstatninger for OpenSSL; når alt kommer til alt er de ikke svære at holde lappet. SSL-alternativer kan være nødvendige i andre emner, såsom hjemmereuter eller kabelbokse, som sjældent opdateres (hvis overhovedet) og skal være baseret på kode, der revideres så strengt som muligt.

Ikke alle erstatninger fungerer som drop-in-erstatninger, og nogle kan være mindre nyttige i visse kredse på grund af licensproblemer. Men det er værd at undersøge, hvad disse projekter har at tilbyde. I det lange løb kan det være mere værd at skifte snarere end patch.

Denne artikel, "Efter Heartbleed: 4 OpenSSL-alternativer, der fungerer," blev oprindeligt offentliggjort på .com. Få det første ord om, hvad de vigtige tekniske nyheder virkelig betyder med Tech Watch-bloggen. For at få de seneste nyheder om forretningsteknologi, følg .com på Twitter.