Openssl

Apart dat ze OpenSSL gebruiken en niet hun eigen OpenSSL-fork BoringSSL.

Het probleem zit hem er in dat wanneer je applicatie bijvoorbeeld gebruik maakt van openSSL en hierin een bug wordt gevonden het niet langer volstaat om openSSL van het systeem te patchen zoals vandaag het geval is.

Ik ken PEM en DER, maar de syntax voor die omzetting is vrij eenvoudig met openssl.

Ik zie in de releaselog openssl 1.1.1 staan.

OpenSSL is één van de meest gebruikte software(bibliotheken) om versleuteling toe te passen.

OpenSSL-versie 3.0.7 zal naar verwachting de komende release zijn en de oplossing voor de kritieke kwetsbaarheid bevatten.

OpenSSL-versies 3.0 en hoger zijn als kwetsbaar gemeld.

Voor de beveiliging wordt gebruikgemaakt van de OpenSSL-library, waarmee alle encryptie, authenticatie en certificatie kunnen worden afgehandeld.

Kan zijn maar OpenSSL bevat veel onnodige complexiteit, gebruikt veel dingen op een non-standaard manier waardoor de software-bugs moeilijker te vinden zijn.

De nuance in dit artikel is natuurlijk dat deze machines wel wat verouderd zijn, nooit meer geüpdated en er nu exploits bekend zijn (oa in OpenSSL) die toen nog niet boven water waren.

En wat betreft openssl, weet je heartbleed bug nog?

Er waren, nog voor heartbleed, al voldoende signalen dat OpenSSL niet helemaal ok was (understatement).

Het lek heeft ondertussen de onofficiële naam ‘Cloudbleed’ gekregen, naar analogie met de Heartbleed-bug in OpenSSL.

We hebben libssl (openssl) welke ook door de grote bedrijven gebruikt wordt/werdt maar toch te weinig geld binnen kreeg om goede code op te leveren.

Aan de andere kant zijn er tig vrijwilligers met die kennis én mensen bij grote organisaties die hun devs richting OpenSSL sturen (aldanniet eens in de zoveel tijd) om te contributen.

Als op die manier de deur wijd open wordt gezet heeft OpenSSL tenminste een degelijk excuus.

Een van de redenen was dat ze achter lagen met kernel (security)patches - en er bijvoorbeeld een openSSL versie uit 2003(!) op liep.

En zolang je weet / communiceert dat openssl op die manier is geinstalleerd zie ik geen probleem.

Er is een reden waarom er zoveel forks van OpenSSL zijn gekomen na o.a. Heartbleed.

Het meeste is van OpenSSL en dat hoef je niet persee te gebruiken als je je router alleen lokaal beheert.