OPERATIVSYSTEMER OG PROGRAMVARE

Etter tre år med utvikling er OpenSSL 3.0 endelig klar

Hundrevis av utviklere har til sammen bidratt med tusenvis av forbedringer.

OpenSSL 3.0 ble lansert denne uken.
OpenSSL 3.0 ble lansert denne uken. Illustrasjon: Colourbox, OpenSSL Foundation. Montasje: digi.no
Harald BrombachHarald BrombachNyhetsleder
10. sep. 2021 - 10:00

Det mye brukte sikkerhetsbiblioteket OpenSSL har fått mye kritikk for elendig kodekvalitet, særlig etter at Heartbleed-sårbarheten ble oppdaget i 2014, men også før dette. I kjølvannet av Heartbleed sa OpenBSD-grunnleggeren Theo de Raadt at OpenSSL ikke kunne reddes

Den manglende kodekvaliteten i OpenSSL var også en sentralt tema i en kronikk som ble publisert på Digi.no denne uken, skrevet av OpenBSD-brukeren Peter Hansteen, som ikke legger fingrene imellom i sin beskrivelse OpenSSL-koden, i alle fall slik den var.

Tusenvis av endringer

Omtrent samtidig med at Digi.no publiserte kronikken, men en stund etter at den faktisk ble skrevet, fullførte OpenSSL-prosjektet et arbeid som har pågått i tre år og lanserte tirsdag OpenSSL 3.0. Mer enn 350 ulike utviklere har kommet med mer enn 7500 kodebidrag, noe som forhåpentligvis har ført til bedre kvalitet, i tillegg til ny funksjonalitet og dokumentasjon. 

Kartet som viser antallet norske servere som var sårbare for Terrapin Attack den 4. januar 2023.
Les også

Nylig oppdaget angrepsteknikk: Tusenvis av norske servere er berørt

Den største funksjonalitetsnyheten i OpenSSL 3.0 er den nye FIPS-modulen (Federal Information Processing Standards), som tilbyr støtte for flere kryptografiske algoritmer som, når modulen etter hvert blir sertifisert, kan ha særlig betydning i forbindelse med systemer som benyttes av amerikanske myndigheter. Det er ikke ventet at det endelige sertifikatet blir utstedt før i 2022.

En annen større nyhet er at OpenSSL 3.0 er utgitt med Apache License 2.0, mens tidligere versjoner har blitt utgitt under to andre lisenser, OpenSSL og SSLeay.

Ikke fullstendig bakoverkompatibel

Selv om det er store forskjeller på OpenSSL 3.0 og versjonen som til nå har vært den nyeste, OpenSSL 1.1.1, vil de fleste applikasjoner kunne ta i bruk den nye versjonen uten at det må gjøres noe annet enn en omkompilering. Det opplyses likevel at den nye versjonen ikke er fullt ut bakoverkompatibel, og en god del programmeringsgrensesnitt anses nå som foreldet («deprecated»), selv det fortsatt er mulig dem – selv om det vil advares mot dette under kompileringen- 

Teemu Salmi leder den nye cybersikkerhetsenheten til DNV (det norske veritas) med 500 ansatte.
Les også

DNV etablerer cybersikkerhetsenhet med 500 ansatte

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.