Google entwickelt eigene SSL-Bibliothek

Nach den groben Bugs in OpenSSL starteten die OpenBSD-Entwickler mit LibreSSL eine unabhängige Implementierung. Jetzt geht auch Google mit einem eigenen Projekt auf Distanz zu OpenSSL.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 57 Beiträge
Von

Schon geraume Zeit pflegt Google einen Satz eigener Patches für OpenSSL. Letztlich will Google die in seinem Browser Chrome verwendete Mozilla-SSL-Technik (NSS) ersetzen. Die Patches jedoch fließen nicht alle in die offizielle Entwicklung zurück. Ein Teil der Änderungen vertrugen sich nicht mit den Versuchen der OpenSSL-Entwickler, API und ABI stabil zu halten; manche schätzt Google selbst als zu experimentell ein. Das schreibt Google-Mitarbeiter Adam Langley in seinem Weblog.

Andererseits greifen Google-Projekte wie Android und Chrome zunehmend auf die Google-Ergänzungen zurück. Allein deshalb blieb Android von der Heartbeat-Lücke zumeist verschont. Die Entwickler haben sich deshalb entschlossen, die Art und Weise zu ändern, in der sie die Ergänzungen realisieren: Bisher haben sie diese an eine neue OpenSSL-Version angepasst (Rebase). Zukünftig wollen sie statt dessen Änderungen an OpenSSL in die eigene Code-Basis einpassen

Dadurch ensteht neben OpenSSL und LibreSSL die dritte SSL-Implementierung, wobei die Google-Variante anders als LibreSLL nicht als 1:1-Ersatz dienen soll. Sie läuft unter dem Namen BoringSSL. Google will weiterhin Korrekturen an den OpenSSL-Entwickler zurückgeben und mit den LibreSSL-Entwicklern eng zusammenarbeiten. Der Code soll unter ISC-Lizenz stehen (einer abgewandelten BSD-Lizenz, unter anderem für BIND und OpenBSD).

Den BoringSSL-Code gibt es auf googlesource.com bereits als Git-Repository. Google-Entwickler Langley berichtet in seinem Blog, dass der Code demnächst auch Bestandteil des Chromium-Repositorys werden soll, später auch von Android und Teil weiterer interner Projekte. Er untermauert, dass der SSL-Fork OpenSSL auch langfristig nicht ersetzen soll. (ps)