OpenSSL bereikt na 12 jaar versie 1.0

Na twaalf jaar ontwikkelen is OpenSSL aangekomen bij versie 1.0. In de nieuwste versie van de opensource-implementatie van ssl- en tls-protocollen zijn het Whirlpool-algoritme en de Russische encryptiestandaard GOST opgenomen.

De eerste versie van het opensource OpenSSL-project, dat versienummer 0.9.1c droeg, verscheen in december 1998. Met OpenSSL kunnen versleutelde ssl- en tls-verbindingen worden opgezet. Beide protocollen worden onder andere gebruikt om veilige verbindingen met websites op te zetten. Sinds de eerste release zijn er OpenSSL-versies verschenen voor diverse *nix-varianten, Mac OS X en Microsoft Windows.

Twaalf jaar later durven de ontwikkelaars het aan om versie 1.0 uit te brengen. Een nieuwe release was toch al hard nodig, want de 'record of death'-bug kon een ssl-client of -server laten crashen. Daarnaast zijn enkele nieuwe protocollen aan OpenSSL toegevoegd, waaronder het Whirlpool-hashalgoritme. Whirlpool wordt als veiliger gezien dan de oudere MD5- en SHA-1-algoritmes, waarbij makkelijker collisions kunnen worden gevonden. Verder is ondersteuning voor PKCS#8, een standaard voor publieke cryptografiesleutels, en GOST, een Russische blokvercijfering, aan de code toegevoegd.

IT-banen

Reacties (75)

begintmeta 31 maart 2010 12:37

Dat is inderdaad mogelijk het geval neeroeter.

tijnvw, verder, en fundamenteler, hoort een versleutelingssysteem zo te worden ontworpen dat de veiligheid afhankelijk is van de geheimhouding van de sleutel, niet van het algorithme. Dat is een van de zogenaamde Kerckhoffse principes, in 1883 geponeerd in 'La cryptographie militaire'.

Het geheimhouden van de methode voegt natuurlijk (eventueel) wel een kleine drempel toe aan de taak die iemand die een gecodeerde tekst wil ontcijferen, maar dit zal over het algemeen eigenlijk niet noemenswaardig zijn. Voordelen van een vrij toegankelijk algorithme zijn veel groter: (inderdaad) makkelijkere peer review, alleen hoeven bewaken van sleutels (bewaken van algoritmes kan veel lastiger zijn, omdat die in soft/hardware verwerkt moeten worden), in het geval van beveiligingsproblemen met een sleutel alleen die sleutel hoeven vervangen, niet totale algorithmes (en daarmee software/hardware) etc.

Wat betreft de oost-europeesheid die eerder genoemd was: dat valt IMHO bij openssl wel mee, geen enkele oost-europeaan (of wellicht 1) is (noemenswaardige) developer (volgens de site: VK 3, Duitsland 5, Zweden 2, Canada 1)

[Reactie gewijzigd door begintmeta op 23 juli 2024 08:40]

tijnvw 31 maart 2010 12:19

Ik vermoed dat het een beetje een domme vraag is, maar ik ben toch erg benieuwd; kan iemand mij vertellen waarom een open-source beveiliging níet makkelijk(er) te kraken is dat een systeem met een geheime broncode?
Mijn denkpatroon is dat als elke hacker weet hoe de beveiliging tot stand gekomen is, het vrij eenvoudig moet zijn om deze weer lek te schieten.
Wat gaat er verkeerd in mijn gedachten? Alvast bedankt!

Delgul @tijnvw • 31 maart 2010 14:27

Hm... geen domme vraag. Maar lastig uit te leggen als je weinig weet van security.

Toch een poging. Stel je wilt iets uitrekenen wat ALTIJD moet kloppen. Je ontmoet twee wiskundigen.

De ene zegt:
Ik kan iets uitrekenen en het klopt altijd maar ik vertel niet hoe want als ik dat doe dan kan iemand misschien toch iets verzinnen zodat het toch niet klopt.

De andere zegt:
Ik kan iets uitrekenen en het klopt altijd. Hier heb je alle formules. Prik er maar in en doe maar wat je wilt, je vindt toch geen fout want het klopt gewoon.

Als allebei de methoden nog nooit hebben gefaald. Welke kies je dan?

Nummer 2 dus, want heel veel mensen hebben dat al geprobeerd onderuit te halen met volledig inzicht in de methode en dan lukt het dus NOG niet. Van nummer 1 moet je maar afwachten of en wanneer het mis gaat. Voor hetzelfde geld is het achter de schermen een grote puinhoop en kan het ieder moment mis gaan. Je weet het gewoon niet...

Dat is de kracht van Open Source.

Helpt dit?

tijnvw @Delgul • 31 maart 2010 14:33

Haha, ja! Leuk en illustratief voorbeeld! Toen ik nog geen reacties gekregen had klonk het me gewoon heel anti-intuïtief in de oren, maar met het gegeven dat het de sleutel het cruciale punt is, en niet al algoritme, en je past dat doe in het voorbeeld van de 2 wiskundigen die je geeft, heb je dé perfecte verklaring!
Bedankt!

cartler811 @tijnvw • 31 maart 2010 13:00

Het is juist precies andersom. Omdat de source open is kunnen veel meer mensen de gaten erin aantonen en eventueel zelfs dichten. Dat is het principe achter OpenSource. Er kan veel beter getest worden doordat inprincipe iedereen de source kan aanpassen.

Het is op deze manier ook voor iedereen duidelijk hoe de software werkt en dat er geen backdoor of andere schadelijke praktijken in verstopt zitten.

Echter weten hoe de software werkt en een beveiliging hacken zijn 2 verschillende dingen. En hebben niet persé een 1 op 1 relatie.

Verwijderd @tijnvw • 31 maart 2010 20:21

Je moet 2 dingen uit elkaar houden: de manier waarop de encryptie werkt (die is open), en de keys die gebruikt worden.

De eerste is open, zodat men kan zien hoe het werkt, en aan kan tonen hoe goed de methode is. De key die echter voor de daadwerkelijke encryptie nodig is, moet je wel geheim houden.

Oftewel: je mag zien hoe het slot werkt, maar niet hoe mijn sleutel eruit ziet.

David Mulder 31 maart 2010 10:25

Toch jammer dat openssl zover ik weet niet al te veel wordt gebruikt en ik hoop dat dit mogelijk wat volwassener gaat aanvoelen. Ik moet zeggen dat het wel tijd is om in de hele nummers te gaan werken, want zelfs voor mijn generatie (relatief jong), voelt openssl al aan als een antiek product

YaPP @David Mulder • 31 maart 2010 11:11

over ik weet niet al te veel wordt gebruikt

uhm het zin in..
- Iedere Linux server.
- Ieder MacOS systeem
- de iPhone
- bijna iedere apparaat wat SSL aanbied.
- Diverse commerciele pakketten op Windows.

In software die ik zo kan opnoemen:
- Apache (web server), Postfix, sendmail (smtp server), Dovecot (imap server), Samba (file server), OpenSSH (remote login), OpenVPN, MySQL, OpenLDAP, BIND, PHP, de KDE desktop.

Je zou haast beter een lijstje kunnen maken met welke software nog niet met OpenSSL werkt.

Typisch geval van een project wat al jaren lang voldoet, en voor ingewijden het versienummer niet meer er toe deed.

Verwijderd @David Mulder • 31 maart 2010 10:31

Er zijn legio (grote) bedrijven welke dit super goede product gebruiken.

Het is lightweigth, snel en goed gedocumenteerd. De userbase is zeer groot te noemen en er komen er dagelijks velen bij.

Antiek is je oma welke nog achter haar typemachine zit

Rukapul @Verwijderd • 31 maart 2010 11:27

Het is [...] goed gedocumenteerd.

Naar de gebruikerskant redelijk goed ja. Echter intern is er vrijwel geen goede documentatie en de c code leest als een bord spagetti vergelijkbaar zoals een waarzegger koffiedik leest.

Men probeert heel slim efficiente en geoptimaliseerde code te schrijven, maar het resultaat is een brij van code die moeilijk onderhoudbaar en uitbreidbaar is. Niet verbazingwekkend ook dat het aantal bugs en exploits van OpenSSL historisch vrij hoog ligt.

Icekiller2k6 @Rukapul • 31 maart 2010 13:45

Dat is altijd het risico bij het optimaliseren van code.

Daarom goede commentaar (en vooral nuttige niet: hier doe ik a + 1... onzin).
't is altijd een afweging tegen leesbaarheid en efficiëntie, bit shiften, lazy eval's etc we kennen/begrijpen het allemaal wel maar om het te lezen is toch "moeilijker" dan er normale code staat.

Snow_King

@David Mulder • 31 maart 2010 10:29

Uhm, ongeveer elke Linux server/desktop werkt er mee?

Het wordt wel degelijk veel gebruikt, maar misschien niet zo veel in de Windows wereld, dat weet ik niet.

Phyxion @David Mulder • 31 maart 2010 10:32

OpenSSL wordt behoorlijk veel gebruikt hoor, bijna elk 'download' programma wat SSL aanbiedt maakt gebruik van OpenSSL, laat staan programma's als mIRC e.d.. Mooi dat versie 1.0 uit is maar het zal wel even duren voordat alles over is.

Delgul @David Mulder • 31 maart 2010 14:18

Toch jammer dat openssl zover ik weet niet al te veel wordt gebruikt en ik hoop dat dit mogelijk wat volwassener gaat aanvoelen. Ik moet zeggen dat het wel tijd is om in de hele nummers te gaan werken, want zelfs voor mijn generatie (relatief jong), voelt openssl al aan als een antiek product

*Proest*... Volgens mij weet jij dus niet waar je het over hebt. OpenSSL is een _library_. Dat KAN niet antiek aanvoelen want het draait in de achtergrond en je applicaties maken er gewoon gebruik van.

En alle Linux/Mac/BSD/Unix machines in de wereld gebruiken het bijna. Menig Windows station ook. Als OpenSSL morgen zou wegvallen dan zou half het internet in elkaar storten...

YopY

Software development

@David Mulder • 31 maart 2010 14:44

want zelfs voor mijn generatie (relatief jong), voelt openssl al aan als een antiek product .

Vind je? Linux / Unix dan? Dat draait ook al 30 (of was het al 40?) jaar mee. Maar toch draait een groot deel van alles dat belangrijk is daarop.

'antiek voelen' is best wel een non-argument in software. Tenzij het echt antiek is, dwz niet goed werkt op nieuwe systemen, niet goed werkt met nieuwe technologie (multicores, meer dan 32 KB geheugen, etc)

Verwijderd 31 maart 2010 10:25

Beetje offtopic maar toch vind ik het wel opmerkelijk dat bijna alle software met encrypties en algoritmes uit oost europa en vooral rusland komt.

arjankoole

Beveiliging
Software development

@Verwijderd • 31 maart 2010 10:41

Beetje offtopic maar toch vind ik het wel opmerkelijk dat bijna alle software met encrypties en algoritmes uit oost europa en vooral rusland komt.

De OpenSSL software zelf komt volgens mij echter uit de UK

latka @arjankoole • 31 maart 2010 13:48

Nope, australie (gebaseerd op SSLeay van Eric Young)

arjankoole

Beveiliging
Software development

@latka • 1 april 2010 00:21

Nope, australie (gebaseerd op SSLeay van Eric Young)

Maar grotendeels ontwikkeld in de UK als ik 't goed heb. Even los van het feit dat beide landen hetzelfde staatshoofd hebben:

- Monarch Queen Elizabeth II

Relief2009 @Verwijderd • 31 maart 2010 10:35

Blijkbaar komen daar de briljante informatici vandaan.

Crim @Verwijderd • 31 maart 2010 10:26

Misschien zijn ze daar goed in maken én kraken

BamSlam_

@Crim • 31 maart 2010 10:31

En schaken. Rusland staat bekend om haar briljante denkers.

YopY

Software development

@BamSlam_ • 31 maart 2010 14:40

Komt omdat er daar weinig anders te doen is dan drinken en schaken,

.

/flauw

sniek @Verwijderd • 31 maart 2010 10:32

Goed gezien!

Zijn het enige volk die dronken achter een keyboard kunnen gaan zitten om voor de lol pentagon te hacken!

In Oost Europa wordt veel geïnvesteerd in IT. 3 stagaires hier het afgelopen jaar kwamen daar allemaal vandaan!

2playgames 31 maart 2010 10:25

Wat is er in deze release dan zo belangrijk dat dit wel 1.0 mag zijn? 12 jaar is wel erg lang

Tha_Butcha @2playgames • 31 maart 2010 10:32

1.0 betekent over het algemeen dat iets stable is en dat de doelen die gezet waren bij het begin van het ontwikkelen van een software pakket zijn gehaald.

Toch jammer dat openssl zover ik weet niet al te veel wordt gebruikt en ik hoop dat dit mogelijk wat volwassener gaat aanvoelen

Afaik wordt deze implementatie nog genoeg gebruikt hoor. in de *nix wereld. Zoals b.v. voor het opzetten van https verbindingen van apache (meeste gebruikte webserver in de wereld).

Verwijderd @Tha_Butcha • 31 maart 2010 12:35

normaal is alles onder de 1.0 een BETA of een ALFA, dus als een programma bij 1.0 aankomt is hij stabiel en niet meer BETA..

metaal @Verwijderd • 31 maart 2010 13:16

stabiel en "beta" zijn twee verschillende zaken (of kunnen zijn, iedere organisatie heeft weer zijn eigen interpretatie hiervan).

Alpha/beta zijn meestal fases waarin een product nog niet helemaal 'af' getest is, er nog bekende bugs zijn, enz.

Als een product (in de opensource wereld meestal) 'unstable' is dan zegt dat meestal meer iets over het feit dat de API, het dataformaat van de opslag, protocol met de server of whatever voor interfaces het heeft met de buitenwereld nog aan verandering onderhevig kunnen zijn. Dit betekend dat als je als ontwikkelaar kiest om een 'unstable' versie van een bepaalde library te gebruiken je mag verwachten dat je na een bepaalde tijd zaken moet aanpassen in je code om de library te kunnen blijven gebruiken. Als je een 'stable' versie gebruikt mag je ervan uitgaan dat de API niet meer veranderd.

Een stable versie kan dus ook wel degelijk in 'beta' zijn, of hoe het dan ook genoemd wordt (release candidate, prerelease, etc).

YopY

Software development

@Verwijderd • 31 maart 2010 14:39

normaal is alles onder de 1.0 een BETA of een ALFA, dus als een programma bij 1.0 aankomt is hij stabiel en niet meer BETA..

Da's jouw definitie van 'normaal'. Als ik een softwareproject opzet, ben ik vrij om te zeggen "Wij gaan versienummers aftellen van 1.0, dus de volgende versie is 0.9, en de stabiele versie is -1.33.7. Ik heb gesproken.".

D'r is geen standaard (of 'normaal') voor versienummering.

[Reactie gewijzigd door YopY op 23 juli 2024 08:40]

Mellow Jack @Tha_Butcha • 31 maart 2010 11:39

Volgens mij komt de verwarring door de commerciële bedrijven.
Die bedrijven plakken al snel het nummertje 1.0 erop omdat het dan verkocht kan worden als een volledige versie
De non commerciële bedrijven/ groepen ontwikkelaars doen dat pas wanneer ze 100% tevreden zijn en het in de praktijk al volop is getest

mashell @Mellow Jack • 31 maart 2010 11:48

Nou nou, in de Open Source wereld wordt nog veel meer met versie nummers gerommeld. Hele revisies overslaan omdat het leuk staat en oneven nummers een andere betekenis geven dan even nummers zijn zomaar een paar voorbeelden van hoe het eigenljk niet hoort (hoewel de range 1,2,3,4,95,98,2000,XP,7 natuurlijk alles verslaat op het gebied van onlogische nummering).

Verwijderd @mashell • 31 maart 2010 13:04

Ik denk dat je je gewoon niet helemaal verdiept hebt in hoe het precies werkt met die nummering in Open Source land. Voor mij is die altijd volkomen duidelijk.

Vroeger gebruikte men even- en oneven nummering om onderscheid te maken tussen stable en test maar dat is al een tijdje geleden en je kunt zo via google de definitie zoeken hoe men tegenwoodig de nummering toepast.

En dat gebeurt in vrijwel alle gevallen op dezelfe manier bij open source. Zoals je zelf aangeeft gaat het er bij bv MS heel anders aan toe. Het rijtje valt nog langer te maken met 98SE, ME en NT.

elmuerte @Verwijderd • 31 maart 2010 14:12

Vroeger gebruikte men even- en oneven nummering om onderscheid te maken tussen stable en test maar dat is al een tijdje geleden en je kunt zo via google de definitie zoeken hoe men tegenwoodig de nummering toepast.

Sommige projecten deden dat (e.g. Linux) en andere doen dat nu (e.g. Apache HTTPD). Maar het is meer uitzondering dan regel.
Wikipedia heeft wel een redelijk artikel over versie nummers: http://en.wikipedia.org/wiki/Version_number

Verwijderd @Verwijderd • 31 maart 2010 13:24

@Roit

Heb het idee dat dit een soort van MS bashen is... Zoals PolarBear al opmerkte. Jullie verwarren versienummers met productnamen.

98SE, ME, NT, Vista, Windows 7, het zijn allemaal productnamen. Ik zou zeggen open voor de aardigheid cmd eens. Bovenin staat het versienummer van je Windows versie vermeld.

Blokker_1999

Websites en community's
Netwerk en systeembeheer
Open source
Software development

@Verwijderd • 31 maart 2010 14:10

Zelfs dan nog blijft MS er een rommeltje van maken. Windows 7 aanzien ze als een NT7 maar ze hebben het 6.1 genummerd voor de compatibeliteit met andere software. Dan ben je toch echt gewoon verkeerd bezig.

YopY

Software development

@Blokker_1999 • 31 maart 2010 14:38

Zijn hun dan verkeerd bezig, of zijn degenen die de software geschreven hebben die dat versienummer controleren verkeerd bezig?

Microsoft zelf geeft al aan dat je niet op een specifiek versienummer moet controleren, maar op een 'vanaf' versie, dwz vanaf Windows NT 6.1 ipv 'voor' 6.1.

Niet dat het veel uitmaakt natuurlijk - Windows 7 deelt slechts het versienummer met Windows Server 2008 R2. Vista en Windows Server 2008 hebben beide versie 6.0 (zie hier). Dus ik ben er vrij zeker van dat je, zelfs als je als softwareontwikkelaar zo dom bent om het versienummer te controleren (ipv de aanwezigheid van API functies), aan kunt nemen dat alles wat in 7 werkt ook in 2008 R2 zal werken.

84hannes @YopY • 31 maart 2010 15:28

Hun zijn sowieso nooit.

Ik zou zeggen open voor de aardigheid cmd eens. Bovenin staat het versienummer van je Windows versie vermeld.

Of start winver.exe

ashemedai @Verwijderd • 31 maart 2010 14:33

Vroeger gebruikte men even en oneven? Ja, in de Linuxwereld en daarna later in de GNU wereld, maar er zijn nog zat andere open source projecten die nooit aan die 'standaard' hebben meegedaan.

Er is geen eenduidige standaard voor nummering.

freaky @mashell • 31 maart 2010 13:46

Weet niet wat je onder gerommeld verstaat maar als de documentatie duidelijk meldt dat in x.y.z waarbij y oneven == test/beta/ontwikkel versie en y even = stable dat dat redelijk duidelijk is en dus niet 'gerommeld' kan worden genoemd.

Het skippen van versie nummers heeft vaak ook redenen. Maar ja, daar moet je voor lezen he en je doet natuurlijk veel liever install zonder enige kennis. Ik had ook liever in een auto gestapt zonder rijbewijs, had me veel geld gescheeld...

Raventhorn @freaky • 1 april 2010 01:21

Reden om versies te 'skippen' is over het algemeen een nieuwe Major release, dwz een rease die over het algemeen een flinke meuk aan fixes bevat en een bende nieuwe mogelijkheden. Over het algemeen ook een nieuw uiterlijk

kijk idd bijvoorbeeld naar win NT en win XP, versie 4 en 5.1, maar xp kan veel meer, ziet er anders uit (tenzij je natuurlijk voor het oude uiterlijk hebt gekozen) enbevat flink wat fixes vergeleken met zijn voorganger

PolarBear @mashell • 31 maart 2010 12:09

Je verwart productnamen met versienummers.

dasiro @PolarBear • 31 maart 2010 12:13

inderdaad.

er is software die nooit versienummer 1.0 bereikt, maar zoals hier tot voor deze versie altijd met 0.x.xx.x versies door het leven gaat. beetje dom van de ontwikkelaars dan om hun nummering zo op te zetten

iichel @mashell • 31 maart 2010 12:06

U vergeet Vista

Verwijderd @mashell • 31 maart 2010 16:40

1, 2, 3, 4, 2000 (5), XP (5.1), Vista (6), 7
Wat is er mis mee?

killerdemon @mashell • 2 april 2010 19:44

Vooral omdat Windows 7 eigenlijk NT6.1 is

Grauw @Mellow Jack • 1 april 2010 01:32

Volgens mij is het in dit geval ook niet meer dan een stickertje. Ze hebben gewoon gedacht van nou, laten we maar eens naar 1.0, want de nummers raken op en da’s een mooi rond nummer.

Uiteindelijk zegt het vaak helemaal niks, en de stap van 0.9.8 naar 1.0 hoeft helemaal niet zo groot geweest te zijn als bijvoorbeeld een van de vorige updates die alleen het ‘minor’ getal verhoogden.

2playgames @Tha_Butcha • 31 maart 2010 10:35

Sterker nog, daar is het toch de SSL-implementatie?

freaky @2playgames • 31 maart 2010 13:44

1 v/d 3 bekende ja. Er is openssl, ssl van mozilla ssl en een gnu ssl library.

arjankoole

Beveiliging
Software development

@Tha_Butcha • 31 maart 2010 10:41

Afaik wordt deze implementatie nog genoeg gebruikt hoor. in de *nix wereld. Zoals b.v. voor het opzetten van https verbindingen van apache (meeste gebruikte webserver in de wereld).

Cisco gebruikt 't ook in diverse producten.

eymey

@arjankoole • 31 maart 2010 10:57

En mijn Sony KDL40V5500 gebruikt het ook

elmuerte @Tha_Butcha • 31 maart 2010 14:06

1.0 betekent over het algemeen dat iets stable is en dat de doelen die gezet waren bij het begin van het ontwikkelen van een software pakket zijn gehaald.

Doelen veranderen in loop van tijd: nieuwe kunnen er bij komen, en oude kunnen verdwijnen.

Maar verder is het gewoon een nummer, wat (zeker voor open source software) verder geen betekenis heeft behalve dan onderscheid te maken tussen oude en nieuwe versies.

beerse @2playgames • 31 maart 2010 11:08

Ach etereal/whireshark heeft er ook evenover gedaan om tot versie 1.0 te komen. Daarna is het even snel gegaan omdat een 1.0 versie toch een statement is van de ontwikkelaars. Of dat bij openssh ook gaat gebeuren is de vraag, het is geen 'gebruikers' product, het wordt meer aan de server kant en/of meer als library gebruikt.

pegagus 31 maart 2010 10:26

Het wordt al jaren gebruikt, dus een leuke mijlpaal, maar het voegt verders niets toe. Het is niet zo dat 1,0 stabiel is en voorgaande versie instabiele beta's.

Cloud @pegagus • 31 maart 2010 10:33

En toch zorgt een versienummer wat groter of gelijk aan 1.0 is voor een 'stabieler' gevoel bij eventuele geïnteresseerde partijen.
Ik kan me best voorstellen dat sommige bedrijven er geen gebruik van wilden maken totdat deze release uit kwam. Ook al waren de 0.9x versies wel geen beta's, dankzij datzelfde versienummer lijkt dat wel zo.

YopY

Software development

@Cloud • 31 maart 2010 14:46

En toch zorgt een versienummer wat groter of gelijk aan 1.0 is voor een 'stabieler' gevoel bij eventuele geïnteresseerde partijen.

Ik denk dat eventueel geïnterresseerde partijen eerder kijken naar de daadwerkelijke implementatie en dergelijke dan naar een versienummer. Je hebt het hier wel over technologie waarmee mogelijk miljarden euri mee gemoeid zijn (denk de website van je bank en andere geëncrypte communicatie) - daar maak je geen beslissingen over aan de hand van een versienummer.

Zo ja, dan bouw ik even EpicSSLClient en geef hem versie 14.9 mee bij de eerste alfa release, en zo voor flink geld verkopen aan bedrijven. Want ja, we zijn al bij versie 14.9.

Overigens kun je dit ook zelf doen - haal OpenSSL op uit de repositories (het is een open source project, immers), maak er een fork van, geef het een andere naam, en geef het een ander versienummer.

[Reactie gewijzigd door YopY op 23 juli 2024 08:40]

Verwijderd @Cloud • 31 maart 2010 10:35

De vraag is... wat was je alternatief op een LAMP-server ?

Cloud @Verwijderd • 31 maart 2010 10:49

Waarschijnlijk geen inderdaad.

Dan is het OpenSSL gebruiken of géén SSL gebruiken. Echter, iemand die een LAMP setup gebruikt, weet meestal genoeg van de zaken om OpenSSL ondanks het 'te lage' versienummer alsnog te vertrouwen.

Ik zat echter meer te denken aan programma's zoals Phyxion hierboven ook al aangeeft. Emailclients, newsreaders, chatprogramma's, VOIP, etc. Er kunnen best bedrijven zijn die SSL ondersteuning tot op heden weglieten omdat ze OpenSSL (nog) niet vertrouwden en commerciële oplossingen te duur waren om te verantwoorden

Little Penguin

Standaarden
Open source
Software development

@Verwijderd • 31 maart 2010 10:53

Er is een alternatief, dat is NSS (Network Security Services). Er is ook een module voor Apache die het afhandelen van SSL weer via NSS laat lopen (met de creatieve naam mod_nss).

Er is dus wel degelijk een alternatief, maar die wordt nauwelijks gebruikt - eigenlijk kent iedereen alleen maar OpenSSL+mod_ssl...

Jaap-Jan @Verwijderd • 31 maart 2010 11:15

Er zijn meer projecten, zoals GNU TLS en er bestaat een mod_gnutls om daarmee GNU TLS aan Apache te koppelen. Die library ondersteund TLS (als het ware de opvolger van SSL) 1.1 en 1.0 en SSL 3. Het wordt al veel gebruikt in distro's (Ubuntu installeert het standaard) en ook mod_gnutls is beschikbaar in de Debian en Ubuntu repositories (libapache2-mod-gnutls).

[Reactie gewijzigd door Jaap-Jan op 23 juli 2024 08:40]

Verwijderd @pegagus • 31 maart 2010 10:29

Dan denk ik dat jij toch iets verkeerd doet ?

Ik zeg... $_/-\o_$

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:40]

neeroeter 31 maart 2010 12:28

Geen stomme vraag hoor...waarom post je'm niet ff in "non-windows operating systems" ???
Ik gebruik Arch linux, maar eerlijk gezegd, weet ik hét antwoord zo ook niet ff.

Ik kan wel zeggen dat de openheid natuurlijk twee kanten opgaat. En het gegeven dat code die openbaar is, vaak door meer mensen gereviewd wordt dan gesloten code...

FloRadix 31 maart 2010 10:29

Ze hebben dus tijd genoeg gehad om te testen en alle mogelijk security flaws er uit te halen. Maar ja, een software product is eigenlijk nooit klaar ook al noemt het 1.0

YopY

Software development

@FloRadix • 31 maart 2010 14:47

Ze hebben dus tijd genoeg gehad om te testen en alle mogelijk security flaws er uit te halen. Maar ja, een software product is eigenlijk nooit klaar ook al noemt het 1.0

Zeker niet zoiets als dit - toen OpenSSL 12 jaar terug gestart werd, zagen ze MD5 nog als redelijk veilig. Moet je nu om komen,

mstam @FloRadix • 31 maart 2010 11:47

Precies en dat geldt bijvoorbeeld ook voor Microsoft. Als die de filosofie achter de openSSL nummering had aangehouden, zaten we nu ergens bij versie 0.21. Maar aangezien Windows 0.21 niet zo lekker klinkt, gaat het dus onder de naam Windows 7.

Verwijderd 31 maart 2010 11:05

23-Dec-1998: Released OpenSSL 0.9.1c
23-Dec-1998: Official start of the OpenSSL project

Raar versienummer om mee te beginnen

DrPoncho @Verwijderd • 31 maart 2010 11:39

'Official' start, al een tijdje aan gesleuteld geweest dus.

McCloud @Verwijderd • 31 maart 2010 12:00

Is niet zo vreemd hoor. Vaak wordt dit soort opensource software intern bij bedrijven (of gewoon thuis ontwikkeld). Versienummers worden dan ook al gebruikt. Op het moment dat er een basis staat die wat doet en goed functioneert wordt het vrij gegeven maar wordt het intern gebruikte versienummer gehandhaafd. Intern is er dan al lekker doorgenummerd tot bijvoorbeeld 0.9.

Blokker_1999

Websites en community's
Netwerk en systeembeheer
Open source
Software development

@Verwijderd • 31 maart 2010 14:14

#.9 word vaak als versienummer gebruikt voor de testversies van versie #+1. De beta releases van KDE4 waren bijvoorbeeld ook genummerd als 3.9

tijnvw 31 maart 2010 13:20

Bedankt neeroeter, begintmeta en cartler811 voor jullie uitleg!
Het idee dat de sleutel en het algoritme iets verschillends is had ik niet bij stil gestaan.
Nu is het duidelijk!

Op dit item kan niet meer gereageerd worden.

OpenSSL bereikt na 12 jaar versie 1.0

Lees meer

IT-banen

Reacties (75)

Sorteer op:

Weergave: