Det mye brukte sikkerhetsbiblioteket OpenSSL har fått mye kritikk for elendig kodekvalitet, særlig etter at Heartbleed-sårbarheten ble oppdaget i 2014, men også før dette. I kjølvannet av Heartbleed sa OpenBSD-grunnleggeren Theo de Raadt at OpenSSL ikke kunne reddes.
Den manglende kodekvaliteten i OpenSSL var også en sentralt tema i en kronikk som ble publisert på Digi.no denne uken, skrevet av OpenBSD-brukeren Peter Hansteen, som ikke legger fingrene imellom i sin beskrivelse OpenSSL-koden, i alle fall slik den var.
Tusenvis av endringer
Omtrent samtidig med at Digi.no publiserte kronikken, men en stund etter at den faktisk ble skrevet, fullførte OpenSSL-prosjektet et arbeid som har pågått i tre år og lanserte tirsdag OpenSSL 3.0. Mer enn 350 ulike utviklere har kommet med mer enn 7500 kodebidrag, noe som forhåpentligvis har ført til bedre kvalitet, i tillegg til ny funksjonalitet og dokumentasjon.
Rapport: Ansatte saboterer KI-satsing
Den største funksjonalitetsnyheten i OpenSSL 3.0 er den nye FIPS-modulen (Federal Information Processing Standards), som tilbyr støtte for flere kryptografiske algoritmer som, når modulen etter hvert blir sertifisert, kan ha særlig betydning i forbindelse med systemer som benyttes av amerikanske myndigheter. Det er ikke ventet at det endelige sertifikatet blir utstedt før i 2022.
En annen større nyhet er at OpenSSL 3.0 er utgitt med Apache License 2.0, mens tidligere versjoner har blitt utgitt under to andre lisenser, OpenSSL og SSLeay.
Ikke fullstendig bakoverkompatibel
Selv om det er store forskjeller på OpenSSL 3.0 og versjonen som til nå har vært den nyeste, OpenSSL 1.1.1, vil de fleste applikasjoner kunne ta i bruk den nye versjonen uten at det må gjøres noe annet enn en omkompilering. Det opplyses likevel at den nye versjonen ikke er fullt ut bakoverkompatibel, og en god del programmeringsgrensesnitt anses nå som foreldet («deprecated»), selv det fortsatt er mulig dem – selv om det vil advares mot dette under kompileringen-
Bruken tar av: – Grafikkprosessorene smelter
