Heartbleed – der Auslöser für LibreSSL (Teil 2)

Heartbleed – der Auslöser für LibreSSL (Teil 2)

Im ersten Teil dieses Beitrags haben Sie schon einiges über die Ursachen von Heartbleed erfahren. Lesen Sie im zweiten Teil, wie die Idee zu LibreSLL entstand, wie sich LibreSSL und OpenSSL unterscheiden und welche Auswirkungen die Umstellung auf LibreSSL für die Lösungen von genua hat.

Das OpenSSL-Projekt hat, trotz der Ähnlichkeit im Namen, keine Verbindung zu OpenBSD. Beide Projekte werden unabhängig voneinander entwickelt.

Innerhalb des OpenBSD-Projekts war klar, dass die grundlegenden Fehler, die bei der Entwicklung von OpenSSL gemacht wurden, nicht durch kleine Änderungen zu korrigieren sind. Große Änderungen und eine neue Sicherheitsphilosophie lassen sich jedoch nur schwer umsetzen, wenn man keinen direkten Einfluss auf das OpenSSL-Projekt ausüben kann, sondern auf die Hilfe der OpenSSL-Entwickler angewiesen ist.

Die Idee zu LibreSSL wird geboren

Daher kam es zu einem radikalen Schritt: Die OpenBSD-Entwickler spalteten ein neues Projekt namens LibreSSL von OpenSSL ab. Dieser Vorgang wird als „Fork“ bezeichnet. Das heißt, dass LibreSSL auf den Quellen von OpenSSL beruht, jedoch nun unabhängig davon weiterentwickelt wird. Die OpenBSD-Entwickler können dadurch an der Sicherheit von LibreSSL arbeiten, ohne auf die OpenSSL-Entwickler angewiesen zu sein.

Bereits einen Monat nach der Abspaltung wurden mehr als 90.000 Zeilen Code entfernt und der Coding-Style wurde an OpenBSD angepasst. Features, die als Sicherheitsrisiko erschienen, wurden entfernt. Fünf Monate später, am 1. November 2014, erschien OpenBSD 5.6 als erste OpenBSD-Version, die standardmäßig mit LibreSSL anstatt OpenSSL ausgeliefert wurde. Zu diesem Zeitpunkt begann auch die Entwicklung der High Resistance Firewall genugate Version 8.3, in die dann ebenfalls LibreSSL integriert wurde. Im Frühjahr 2015 wurde unseren Kunden die erste genugate Version mit LibreSSL bereitgestellt.

LibreSSL: Vorteile für unsere Kunden

Welche Auswirkungen hatte die Umstellung von OpenSSL auf LibreSSL für unsere Kunden? Obwohl in LibreSSL zahlreiche Features entfernt wurden, beklagten sich die Kunden nicht über fehlende Funktionalität. Das zeigt, dass es sich tatsächlich um nicht benötigte Features handelte.

Weniger ist sicherer: Nicht benötigte Features wurden entfernt, ohne die Funktionalität zu beeinträchtigen

Die Umstellung von OpenSSL auf LibreSSL wurde aus funktionaler Sicht nicht wahrgenommen. Was jedoch nicht unbemerkt blieb, waren weniger häufige Patches. Seit erscheinen von OpenSSL 1.0.2 wurden dort laut Wikipedia 35 Sicherheitslücken gefunden, vier davon waren in der Kategorie „High“ eingestuft. LibreSSL war im gleichen Zeitraum von nur 20 Lücken betroffen, welche höchstens als „Medium“ klassifiziert waren.

Im Nachhinein betrachtet ist die Umstellung von OpenSSL auf LibreSSL in unseren Produkten demnach als voller Erfolg zu sehen: Unsere Kunden profitieren von einer sichereren SSL-Implementierung und sparen Kosten, da sie seltener Patches einspielen müssen. Als Hersteller profitieren wir insofern, da wir uns verstärkt auf die Weiterentwicklung der Produkte konzentrieren können, anstatt Sicherheitslücken zu beheben.

Immer sicherer durch Weiterentwicklung

Auch zwei Jahre nach der Abspaltung wird LibreSSL ständig weiter verbessert. Die Entwickler konzentrieren sich hier jedoch in erster Linie auf den Sicherheitsaspekt und weniger auf eine Erweiterung des Feature-Sets. Zuletzt wurde z. B. die Unterstützung für SSLv3 entfernt, da dieses Protokoll als unsicher zu betrachten ist und nicht mehr verwendet werden sollte. Durch eine Entfernung von SSLv3 wird zum einen sichergestellt, dass niemand aus Unwissenheit dieses unsichere Protokoll verwendet. Zum anderen wird damit ausgeschlossen, dass Programmierfehler in einem Protokoll, das man ohnehin nicht verwenden sollte, zu größeren Schwachstellen führen, die das gesamte System gefährden könnten.

 

Bildquelle: © SunnySideUp, Rawpixel.com - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.