Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Release OpenSSL 3.0 is uitgesteld tot oktober volgend jaar

OpenSSL 3.0 komt pas op zijn vroegst in het vierde kwartaal van volgend jaar uit. Dat is een vertraging van een half jaar. In de zomer van volgend jaar moet de eerste bèta van de code worden opgeleverd.

Ontwikkelaar Matt Caswell van OpenSSL beschrijft de vertraging in een voortgangsblog. Daarin staat dat de ontwikkelaars de voorgestelde deadline niet gaan redden en dat de software pas rond oktober volgend jaar moet uitkomen. Aanvankelijk had OpenSSL 3.0 al eind 2019 af moeten zijn, maar die deadline werd verplaatst naar 'medio 2020'. Nu blijkt ook dat te ambitieus te zijn geweest. OpenSSL 3.0 wordt naar verwachting aan het einde van het tweede kwartaal in bèta opgeleverd. De definitieve release volgt 'in het begin van het vierde kwartaal'.

De belangrijkste verandering van OpenSSL 3.0 is de toevoeging van zogeheten 'providers'. Er komen verschillende providers voor verschillende type encryptiealgoritmes. De default-provider implementeert de meestgebruikte algoritmes, maar er komt ook een Legacy Provider voor legacy-algoritmes en een provider voor algoritmes die met FIPS gevalideerd zijn.

Door Tijs Hofmans

Redacteur privacy & security

08-11-2019 • 21:05

39 Linkedin Google+

Reacties (39)

Wijzig sortering
Ja en nee. ISO20k en 27k hebben nog wel wat meer denkwerk achter zich zitten, die zijn inderdaad vooral gericht op 'zorg dat je er over nagedacht hebt en dat je er een proces voor ingericht hebt en zorg dat je daar ook weer een proces voor controle op ingericht hebt'. PCI DSS enz. hebben toch wel erg veel directe implementatie eisen, zoals '3DES' wat toch echt geen zin meer heeft. Of ze gaan van fysieke omgevingen uit. Of van tape backups als eerste lijn. Of van on-line backup als enige toegestane optie (slecht plan met ransomware).
Maar het is de naamsbekendheid die je niet wil verliezen. Alle gebruikers kennen het als OpenSSL. Ga je het hernoemen gaan mensen denken dat een ander product gebruikt wordt.
Het gaat niet om de afkorting maar de betekenis er achter.

SSL staat voor Secure Socket Layer. Dat wil zeggen dat de stekker op een nader te bepalen niveau (van de stack van de iso-osi standaard) met van security wordt voorzien.

TLS staat voor Transport Layer Security. Hierbij wordt dus expliciet de transport laag van security voorzien.

Dat de tool OpenSSL gebruik maakt van TLS is 1 van de vele mogelijkheden. Met de huidige mogelijkheid van 'providers' houdt niemand je tegen om een ssl provider te maken, of zelfs een provider die niet versleutelt, bijvoorbeeld voor test en onderzoek doeleinden.
"iso-osi" standaard? Er zijn een heleboel ISO standaarden, maar OSI in deze context verwijst naar het theoretische OSI 7-laags model. En TCP/IP is géén ISO standaard en volgt niet het OSI-lagen model.
Klopt helemaal. De transport layer is er wel 1. Het woord layer in ssl verwijst wel naar dergelijke lagen en socket naar de aansluiting tussen de lagen.
Tcp/ip is ongeveer laag 1 en de helft van laag 2.
Dat gezegd hebbende kan de socket ook midden in een iso-osi laag zitten.
Feit is natuurlijk wel dat als je een product forked waarvan je weet dat de code eigenlijk onbeheersbaar is geworden dat je dan met moeilijkbeheersbare code blijft zitten. Dat was net de reden van OpenSSL om met versie 3 te beginnen. Een clean sheet waar men modulair kan gaan werken.
Maarja, dat is dan toch ook te zeggen van de forks, als de basis die je gebruikt niet te vertrouwen is, hoe kun je dan de fork wel vertrouwen?
Omdat een fork mogelijk andere beslissingen neemt dan 'de basis'. Vergeet niet hoeveel 'zooi' er dankzij die forks al uit is gegooid en weer wordt teruggemergd in de master.
GnuTLS heeft geen enkel verwantschap met OpenSSL. Er zijn nog een pak meer projecten die elks hun eigen implementatie doen. Google heeft daarnaast veel code ook gewoon gebackport naar OpenSSL en LibreSSL en zal BoringSSL in de eerste plaats voor interne doeleinden gebruiken.

LibreSSL is zeker niet zomaar de vervanger van OpenSSL op lange termijn. LibreSSL heeft een sterke focus op OpenBSD en heeft daarvoor heel wat dingen die ze niet nodig hebben eruit verwijderd waardoor ze achteraf opnieuw werk hebben moeten maken van het opnieuw compatibel maken ervan met macOS en Linux. Maar zijn ze bijvoorbeeld ook de FIPS 140 certificering verloren. Je moet ze echt als 2 aparte oplossingen zien voor hetzelfde probleem. Oplossingen met eenzelfde oorsprong, dat wel. Maar LibreSSL zal naar mijn bescheiden mening nooit zo groot worden als OpenSSL, al was het maar omdat de focus veel beperkter is. Maar daar waar het wel past kan het daardoor een betere keuze zijn.
En Wolf SSL dan? Deel open, maar ook deels commercieel.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Sport

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True