Allerede om få uker vil OpenSSL-prosjektet slutte å oppdatere to eldre versjoner av krypteringsbiblioteket. Det er uklart hvor mange som kan være berørt av dette. (Foto: J.R. Bale / Alamy / All Over Press)

OpenSSL

Slutt på oppdateringer til eldre OpenSSL

Bør skiftes ut innen nyttår.

OpenSSL-prosjektet kom i forrige uke med nye sikkerhetsfikser til den mye brukte krypteringsprogramvaren med samme navn. De fjerner flere moderat alvorlige sårbarheter.

Fases ut

Samtidig ble det kunngjort at dette trolig vil være den siste oppdateringen noensinne til versjonene 0.9.8 og 1.0.0. Allerede i desember i fjor kunngjorde prosjektet at støtten for disse utgavene vil bli lagt ned den 31. desember 2015. Dette innebærer at sårbarheter som blir oppdaget etter dette, ikke vil bli fjernet fra disse eldre utgavene.

Dette kan likevel være en sannhet med modifikasjoner. Dersom disse utgavene benyttes av for eksempel Linux-distribusjoner som aktivt støttes, kan det være at nye sikkerhetsfikser likevel vil bli implementert i de OpenSSL-utgavene som følger med disse distribusjonene.

Dette vil i så fall blir gjort av prosjektet som står bak distribusjonen, og ikke av OpenSSL-prosjektet.

Alternativer

For alle andre berørt brukere så vil en oppgradering til OpenSSL 1.0.1 bare utgjøre en kortvarig løsning. For OpenSSL-prosjektet kommer bare til å støtte 1.0.1-utgaven fram til 31. desember 2016.

Den langt mer langsiktig løsningen er å ta i bruk OpenSSL 1.0.2, som skal støttes fra til 31. desember 2019. Dette er altså en LTS-utgivelse (Long Term Support).

Det er også en større og ikke 100 prosent kildekodekompatibel oppgradering på trappene. Dette er versjon 1.1.0, som etter planen skal gis ut den 28. april 2016. Denne vil sannsynligvis støttes i to år, siden det er lite sannsynlig at også denne vil være en LTS-utgivelse.

OpenSSL var en periode berørt av store sikkerhetsproblemer, men i ettertid har prosjektet fått mer ressurser til å oppdage disse. Disse problemene førte likevel til at det ble opprettet konkurrerende løsninger som er delvis basert på samme kildekode, blant annet Googles BoringSSL.

Til toppen