OpenSSL weiter mit FIPS-Zertifizierung?
Entzug des Zertifikates war ein Fehler
Die Zertifizierung der freien Kryptografie-Software OpenSSL nach dem Federal Information Processing Standard (FIPS) 140-2 wurde offensichtlich nur zeitweilig zurückgenommen. Da das Cryptographic Module Validation Program (CMVP) eine neue Version überprüft, soll das Zertifikat von der Seite entfernt worden sein. Ein neues Zertifikat ist derzeit trotzdem noch nicht verfügbar.
Der Status des OpenSSL-Zertifikates 642 soll am 14. Juli als "widerrufen" gekennzeichnet gewesen sein und ist derzeit noch immer als "nicht verfügbar" markiert. Ein Sprecher des CMVP bestätigte daraufhin, dass die Zertifizierung nicht mehr gültig sei. Verantwortlich für die Rücknahme waren wohl im Quelltext enthaltene Referenzen auf eine nicht zertifizierte Version.
Allerdings berichtet der OpenSSL-Validation-Projektleiter Steve Marquess nun, dass die Zertifizierung nicht zurückgenommen worden sei. Vielmehr wurde sie nur vorübergehend entfernt, bis die neu eingereichte Version 1.1 validiert ist. Diese enthält die beanstandeten Teile im Quelltext nicht mehr. Nach Abschluss dieses Prozesses soll das Zertifikat auch wieder ganz normal erhältlich sein. Die Meldung über die Rücknahme sei ein Fehler gewesen.
Die freie SSL- und TLS-Implementierung OpenSSL wurde im März 2006 als eine der ersten Open-Source-Anwendungen FIPS-zertifiziert. Diese Zertifizierung erlaubt den Einsatz von OpenSSL in US-amerikanischen und kanadischen Regierungseinrichtungen.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
