Heartbleed-sårbarheten i OpenSSL har førte til at Google så behovet for å lage sin egen utgave av kryptobibliotektet.

Dropper OpenSSL i Chrome

Satser på en «kjedeligere» løsning.

Google nettleser, Chrome, skal i framtiden være basert på en kryptografitjeneste som kalles for BoringSSL. Dette er en «fork» av OpenSSL som Google selv står bak. Dette kunngjorde Googles Ilya Grigorik, developer advocate for Chrome, i går.

Lenge har det vært slik at Chrome for Android benytter OpenSSL, men alle andre utgaver av Chrome benytter Mozillas Network Security Service (NSS) som kryptografitjeneste. Tidligere i år ble det startet et arbeid med å erstatte NSS med OpenSSL i alle utgaver av Chrome, dels for å få en felles kryptomodul på tvers av alle versjonene, men også for å få oppnå bedre ytelse og stabilitet.

Men så inntraff Heartbleed.

På grunn av den daværende usikkerheten angående framtiden til OpenSSL-prosjektet, ble blant annet LibreSSL-prosjektet etablert i april, med det formål å rense opp i koden til OpenSSL og utgi dette som et separat produkt.

I juni kunngjorde Adam Langley, en kryptoingeniør ansatt hos Google, at også Google har laget en egen forgrening av OpenSSL som har fått navnet BoringSSL.

Bakgrunnen for dette er blant annet OpenSSL-koden, som Google bruker i Android, Chrome og flere andre steder, lenge har blitt patchet internt i selskapet, av blant annet Langley, ikke minst i etterkant av Heartbleed-episoden. En del av disse patchene har blitt delt med OpenSSL-prosjektet, andre har blitt ansett for å være for eksperimentelle.

Arbeidet med stadig å patche opp nye utgaver av OpenSSL til flere kodebaser med disse mer enn 70 interne kodeoppdateringene, har etter hvert blitt såpass arbeidskrevende at Google har valgt å snu om på det hele, ved å opprette BoringSSL.

Dermed kan man i stedet importere endringer fra OpenSSL, og LibreSSL, inn i BoringSSL.

Langley understreker at BoringSSL ikke er ment som en erstatter til OpenSSL som et åpen kildekode-prosjekt. Samtidig skal begge de to andre *SSL-prosjektene ta i bruk de endringene som gjøres i BoringSSL.

Nå har det vist seg at det å erstatte OpenSSL med BoringSSL ikke bare er enkelt. Ifølge The Register har det blitt oppdaget flere problemer de siste ukene, noe som har ført til at utrullingen av OpenSSL i Chromium-koden har blitt trukket tilbake i perioder.

    Les også:

Til toppen