Hivatalos: BoringSSL-re vált a Chrome
"Házifőzésű" biztonsági könyvtárára, a BoringSSL-re bízza a Chrome titkosítási algoritmusait a Google. Az OpenSSL-ből elágazgatott könyvtár egyelőre a Chromiumba került be, hamarosan a "konzumer" Chrome-ban is átveheti a főszerepet.
Hamarosan a Chrome-ban is lecserélheti a beépített biztonsági könyvtárat a Google a saját fenntartású, OpenSSL-ből elágaztatott BoringSSL-re. Erre utal, hogy a Chrome alapjául szolgáló szabad szoftveres Chromiumban a fejlesztői közösség múlt héten megtette ezt a lépést, a böngésző minden kiadásában a BoringSSL látja el a titkosítással összefüggő funkciókat.
A Chrome jelenleg platformtól függően OpenSSL-t vagy NSS-t (Network Security Services) használ a titkosítási algoritmusokhoz. A böngésző asztali kiadásaiban a Mozilla által karbantartott NSS dolgozik, az androidos verzió azonban OpenSSL-t használ. A BoringSSL-re váltással ez a kettősség megszűnne és a Chrome egységesen a Google saját karbantartású biztonsági könyvtárát használná. Ez a fejlesztést nagyban egyszerűsítené, az NSS és az OpenSSL ugyanis nem API-kompatibilis, így a Google jelenleg külön adapter-réteget ír mindkét könyvtárhoz - ez a BoringSSL-re váltással szükségtelenné válna, és a tesztelés is egy fokozattal rövidebb lehetne.
A BoringSSL chromiumos integrációjával a fejlesztők az elmúlt hónapban többször is megpróbálkoztak. Egy ilyen központi komponens cseréje azonban nem triviális, David Benjamin Google-mérnök megjegyzése szerint ez legalább a negyedik próbálkozás. Az új könyvtár előbb a WebView buildet törte el, majd a WebRTC teszteken bukott el, harmadszorra pedig a komponensek fordítását akasztotta meg a könyvtár.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A negyedik próbálkozás sikeresnek tűnik, a változást már többen is leokézták a csapatból, így hamarosan a stabil kiadásban is BoringSSL-re válthat a Chromium. Ha ez a kísérlet sikeresnek bizonyul, akkor várhatóan a Chrome különböző fázisban lévő kiadásai is fokozatosan felkarolják az új biztonsági könyvtárat - ennek az átfutási ideje azonban néhány hónap is lehet. Azt érdemes leszögezni, hogy a csere elméletben sem a végfelhasználót, sem a webfejlesztőket nem érinti, a BoringSSL ugyanúgy támogatja a webes titkosítási szabványokat (SSL vagy TLS), mint az NSS vagy az OpenSSL.
Ideje saját könyvtárat készíteni
A Google június végén jelentette be, hogy elágaztatja az OpenSSL könyvtárat és készít belőle egy saját fenntartású, korlátozottabb célú kiadást, amelyet BoringSSL-nek nevezett el a cég. Az elágazás a jövőben nem fejlődik az OpenSSL-től teljesen függetlenül, a Google rendszeresen emel át kódot és funkcionalitást. A cég teljes API-kompatibilitást nem garantál, a BoringSSL az eredeti könyvtár képességeinek csak részhalmazát fogja támogatni, azt viszont a projekt ígérete szerint magasabb minőségű kóddal és megbízhatóbban. Az elágaztatásra (forkolásra) vonatkozó döntést a Google a Heartbleed hiba nyilvánosságra kerülése után hozta meg, az OpenSSL kódbázisának kétségbeejtő minőségére adott (egyik válaszként). A részletekért érdemes fellapozni az akkor írt cikkünket.