Anzeige
LibreSSL erarbeitet ein neues API für TLS-Verbindungen.
LibreSSL erarbeitet ein neues API für TLS-Verbindungen. (Bild: Bob Beck)

Ressl: LibreSSL-Projekt erstellt nutzerfreundliches SSL-API

Das von OpenBSD-Entwicklern gestartete LibreSSL-Projekt erstellt ein komplett neues API, das von OpenSSL und dem Fork abstrahiert. Die Schnittstelle soll auf tatsächliche Anwendungsfälle beschränkt bleiben und könnte universellen Charakter für den TLS-Stack bekommen.

Anzeige

Bereits kurz nach der Ankündigung des OpenSSL-Fork durch das OpenBSD-Team haben laut dem Entwickler Ted Unangst viele kritisiert, dass das "OpenSSL-API so schlecht ist, dass es sich nicht lohnt, es zu erhalten". Wie Unangst nun in einer Rückschau auf die bisherige Entwicklung von LibreSSL bekanntgibt, arbeiten er und Joel Sing deshalb an einer Umsetzung eines neuen API.

Die neue Schnittstelle werde vorerst unter dem Namen ReSSL entwickelt, der in etwa für "SSL neu gedacht" stehen könnte, schreibt Unangst in der Zusammenfassung seines Vortrags auf der EuroBSD-Konferenz. Bisher hat das LibreSSL-Projekt die API zu OpenSSL kompatibel gehalten, um schnell und erfolgreich von anderen Projekten eingesetzt werden zu können. Darauf baut die neue Schnittstelle nun auf.

Hauptziele von ReSSL sind "Konsistenz und Einfachheit". Die Bibliothek ist als Antwort auf die Frage "Was möchte ein Nutzer machen?" geschrieben und nicht etwa als Antwort auf "Was erlaubt das TLS-Protokoll einem Nutzer?". Mit der neuen Software ist es möglich, "sichere Verbindungen mit einem Server aufzunehmen, einen sicheren Server aufzusetzen und einige Daten über diese Verbindung zu lesen und zu schreiben".

Um das zu erreichen, werden keinerlei Interna aus OpenSSL oder ReSSL, wie Typen oder Funktionen, preisgegeben. Denn Nutzer oder auch Entwickler sollten sich eigentlich so gut wie nie Gedanken über X.509 oder ASN.1 machen müssen. Folglich ließe sich das API auch sehr einfach in andere Sprachen einbinden. Es sei sogar so einfach, dass damit fast genauso gut der Transport über einen SSH-Tunnel beschrieben werden könne, schreibt Unangst.

Darüber hinaus erlaube die aktuelle Implementierung die Verwendung mit OpenSSL, aber auch mit anderen Projekten, die einen TLS-Stack anbieten. Denn es wird nicht einfach versucht, das OpenSSL-API nachzubauen, sondern ein so abstraktes und so gutes API bereitzustellen, dass andere dieses allgemeine API ebenfalls nutzen können. Denn der Bruch mit der Monokultur helfe dem gesamten Ökosystem.

Hostname-Verifikation und erste Client-Anwendungen

Die wohl herausragendste neue Funktion in ReSSL ist die Verifikation des Hostname. Denn neben der Überprüfung des Zertifikats muss, um die Sicherheit zu gewährleisten, auch der Hostname in dem Zertifikat mit dem der aktuellen Verbindung verglichen werden. Doch Letzteres werde oft vergessen, da OpenSSL diese Funktion nicht anbiete und sie selbst implementiert werden muss.

Zwar gebe es viele Sprachanbindungen für die Funktion, etwa in Python oder Ruby, die Umsetzung werde trotzdem oft vergessen. Zudem unterscheide sich der Code der einzelnen Implementierungen sehr häufig im Detail, da jeder diesen neu schreiben muss. Das betreffe vor allem Situationen mit Wildcard-Zertifikaten oder eingebetteten Null-Bytes. Die Überprüfung des Hostname ist in ReSSL immer aktiviert, es gebe außerdem keine Möglichkeit, die Funktion ohne die Verifikation aufzurufen.

Damit sich das neue API durchsetzt, müssen die Anwendungen umgeschrieben werden, die SSL- beziehungsweise TLS-Verbindungen verwenden. Ebenso muss die Schnittstelle in ihrer Verwendung getestet werden. Dazu synchronisiert das Team die Entwicklung von ReSSL mit den OpenBSD-eigenen FTP-Client und HTTP-Daemon, damit sich ReSSL wie gewünscht weiterentwickeln kann.

Für die Verwendung in externen Programme ist die Bibliothek wohl derzeit aber noch nicht reif genug, wie Unangst einräumt. Das dauere voraussichtlich noch einige Monate. Der Code des neuen API findet sich unter dem Namen Libressl, der des OpenSSL-Forks wird in Libssl gepflegt. Die portable Version von Letzterem steht über die Server von OpenBSD bereit.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. TUI InfoTec GmbH, Hannover
  2. Robert Bosch GmbH, Leonberg
  3. Robert Bosch GmbH, Abstatt
  4. Bertrandt Technikum GmbH, Ehningen bei Stuttgart


Anzeige
Spiele-Angebote
  1. 49,99€ (Vorbesteller-Preisgarantie)
  2. 59,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Netzausbau

    Telekom will ihre Mobilfunkmasten verkaufen

  2. Bruno Kahl

    Neuer BND-Chef soll den Dienst reformieren

  3. Onlinehandel

    Amazon sperrt Konten angeblich nur in seltenen Fällen

  4. The Assembly angespielt

    Verschwörung im Labor

  5. Kreditkarten

    Number26 wird Betrug mit Standortdaten verhindern

  6. Dobrindt

    1,3 Milliarden Euro mehr für Breitbandausbau in Deutschland

  7. Mini ITX OC

    Gigabyte bringt eine 17 cm kurze Geforce GTX 1070

  8. Autonomes Fahren

    Teslas Autopilot war an tödlichem Unfall beteiligt

  9. Tolino Page

    Günstiger Kindle-Konkurrent hat eine bessere Ausstattung

  10. Nexus

    Erste Nougat-Smartphones sollen von HTC kommen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oneplus Three im Test: Ein Alptraum für die Android-Konkurrenz
Oneplus Three im Test
Ein Alptraum für die Android-Konkurrenz
  1. Android-Smartphone Diskussionen um Speichermanagement beim Oneplus Three
  2. Smartphones Oneplus soll keine günstigeren Modellreihen mehr planen
  3. Ohne Einladung Oneplus Three kommt mit 6 GByte RAM für 400 Euro

Mobbing auf Wikipedia: Content-Vandalismus, Drohungen und Beschimpfung
Mobbing auf Wikipedia
Content-Vandalismus, Drohungen und Beschimpfung
  1. Freies Wissen Katherine Maher wird dauerhafte Wikimedia-Chefin

Neue Windows Server: Nano bedeutet viel mehr als nur klein
Neue Windows Server
Nano bedeutet viel mehr als nur klein
  1. Windows 10 Microsoft will Trickserei beim Upgrade beenden
  2. Windows 10 Microsoft zahlt Entschädigung für nicht gewolltes Upgrade
  3. Microsoft Patchday Das Download-Center wird nicht mehr alle Patches bieten

  1. Re: Mal ein paar Infos von einem FBA Verkäufer.

    thesmann | 07:20

  2. Re: Keine Probleme mit Rücksendungen

    thesmann | 07:13

  3. Re: ist dass nicht der sackstandverein, der...

    Fairlane | 07:01

  4. Re: Aus diesem Grund keine Klamotten mehr bei Amazon

    Moe479 | 06:46

  5. Re: Wäre nett gewesen, aber

    maxule | 06:35


  1. 20:04

  2. 17:04

  3. 16:53

  4. 16:22

  5. 14:58

  6. 14:33

  7. 14:22

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel