Google ogłosił że nie będzie wykorzystywał już w swoich produktach (m. in. Chrome, Android) OpenSSL, ma go zastąpić nowy BoringSSL oparty o LibreSSL.LibreSSL jest implementacją opartą o OpenSSL, stworzoną przez OpenBSD.
Prawdopodobnie na decyzję miały wpływ: wykryta niedawno luka OpenSSL Heart Bleed oraz pogłoski o backdoorze NSA.
Gigant z Moutain View chce mieć pełny wpływ na bibliotekę, a nie polegać tylko na community.
W przeszłości Google tworzyło własne poprawki do OpenSSL, było ich ponad 70, nie wszystkie zostały oficjalnie włączone w strukturę biblioteki.
Teraz te łatki mają zagościć w nowej odsłonie SSL.
W LibreSSL oraz BoringSSL będzie istniała możliwość wzajemnego importowania zmian.
OpenBSD już dawno wskazywało wiele luk i błędów w OpenSSL, pisząc własną implementację, większą część kodu napisali od podstaw oraz przeprowadzili szczegółowe audyty bezpieczeństwa.
Adam Langley kryptograf i pracownik Google’a na swoim blogu napisał o zmianach licencyjnych LibreSSL, pozwalających na jej implementację w swoim nowym pomyśle.
Theo de Raadt założyciel i przewodniczący OpenBSD zaaprobował pomysł Google’a.
„Ich priorytetem jest bezpieczeństwo, a nie na zgodności ABI. Podobnie jak my” powiedział Theo de Raadt.
Langley powiedział że BoringSSL nie ma być substytutem OpenSSL i że Google będzie nadal tworzył poprawki zabezpieczeń do projektu. Google jest także częścią konglomeratu finansującego Core Infrastructure Initiative oraz Fundacji OpenBSD, inicjatyw, których celem jest finansowanie projektów open source, które są bardzo ważne dla infrastruktury Internetu.
Obecnie biblioteki są dosyć podobne, ale wszystko wskazuje na to, że niebawem będą do całkowicie odrębne implementacje SSL.
