Nach Heartbleed: 4 OpenSSL-Alternativen, die funktionieren

Niemand muss an die Schwere des Heartbleed OpenSSL-Fehlers erinnert werden. Vielmehr suchen die Menschen nach Lösungen: wie man es jetzt behebt und wie man ein ähnliches Ereignis in Zukunft verhindert. Zu diesem Zweck lohnt es sich, über OpenSSL hinauszuschauen und zu berücksichtigen, dass es sich um eines von mehreren konkurrierenden Softwareprojekten handelt, die viele der gleichen Anforderungen erfüllen.

Erster Kandidat: Mozillas Network Security Services (NSS) -Bibliotheksfamilie, verfügbar unter mehreren Lizenzvereinbarungen und mit einem ziemlich regelmäßigen Veröffentlichungszyklus, das letzte Debüt Mitte März 2014. Voraussichtlich Mozillas eigene Anwendungen - Firefox, Mozilla Suite, Thunderbird - - Alle verwenden es, aber auch eine Reihe bekannter Anwendungen von Drittanbietern: AOL Instant Messenger und viele Drittanbieter-Clients für den Dienst; OpenOffice.org 2.0; und zahlreiche Red Hat Server-Produkte wie Red Hat Directory Server und mod_nss für den Apache httpd-Webserver.

NSS ist in mod_nss besonders attraktiv, da letzteres die Unterstützung von Zertifikatsperrlisten beinhaltet - einer von mehreren Schlüsselmechanismen zum besseren Schutz der Gültigkeit von Zertifikaten. Es funktioniert auch Hand in Hand mit einem anderen Apache-Modul, mod_revocator, das es ermöglicht, Sperrlisten automatisch zu verarbeiten, ohne httpd neu zu starten.

Eine weitere Möglichkeit: GnuTLS, das eine breite Unterstützung für viele verschiedene Protokolle und Standards bietet und unter einem relativ liberalen Lizenzierungsschema (LGPL 2.0) verfügbar ist, das die Verwendung in Closed-Source-Anwendungen ermöglicht. Es wird auch ziemlich regelmäßig aktualisiert; Die letzte stabile Version war Version 3.3.0, die am 10. April 2014 veröffentlicht wurde. GnuTLS wurde tatsächlich als Reaktion auf die GPL-inkompatiblen Apache- und BSD-Lizenzierungsschemata von OpenSSL erstellt.

Weitere Implementierungen gibt es zuhauf: Polar SSL, das sowohl in Open Source- als auch in kommerziell lizenzierten Versionen verfügbar ist, und MatrixSSL, das ebenfalls multilizenziert und für eingebettete Anwendungen entwickelt wurde.

Server sind nicht der einzige Grund, über Ersatz für OpenSSL nachzudenken. Immerhin sind sie nicht schwer zu patchen. SSL-Alternativen können in anderen Elementen erforderlich sein, z. B. in Heimroutern oder Kabelboxen, die (wenn überhaupt) nur selten aktualisiert werden und auf Code basieren müssen, der so streng wie möglich geprüft wird.

Nicht alle Ersatzprodukte würden als Ersatz dienen, und einige sind in bestimmten Kreisen aufgrund von Lizenzproblemen möglicherweise weniger nützlich. Es lohnt sich jedoch zu prüfen, was diese Projekte zu bieten haben. Auf lange Sicht könnte es sinnvoller sein, zu wechseln als zu patchen.

Dieser Artikel "After Heartbleed: 4 OpenSSL-Alternativen, die funktionieren" wurde ursprünglich auf .com veröffentlicht. Erfahren Sie im Tech Watch-Blog, was die wichtigen technischen Neuigkeiten wirklich bedeuten. Folgen Sie .com auf Twitter, um die neuesten Nachrichten zur Geschäftstechnologie zu erhalten.