|
|
| Zeile 19: |
Zeile 19: |
| Ab Version 3.0.0 steht OpenSSL unter der [[Apache-Lizenz|Apache-2.0-Lizenz]], um die Verwendung in anderen Open-Source-Projekten zu vereinfachen. | | Ab Version 3.0.0 steht OpenSSL unter der [[Apache-Lizenz|Apache-2.0-Lizenz]], um die Verwendung in anderen Open-Source-Projekten zu vereinfachen. |
|
| |
|
| == Geschichte ==
| | <noinclude> |
| SSLeay ermöglichte Mitte der 1990er Jahre, SSL auch außerhalb der USA mit starker Verschlüsselung einzusetzen, weil diese Implementierung in [[Australien]] entstand und somit keinen [[Exportbeschränkung]]en unterlag.
| |
| * Den Namen der Software bildeten die [[Initiale]]n des [[Netzwerkprotokoll]]s und des [[Programmierer]]s.
| |
| * Eric A.
| |
| * Young hatte zuvor an Implementierungen von [[Kerberos (Protokoll)|Kerberos]] und [[Data Encryption Standard|DES]] gearbeitet.
| |
| * Zu diesem neuen Projekt regte ihn 1995 sein Freund Tim J. Hudson an.
| |
| * Hudson trug auch maßgeblich zum Projekt bei, indem er zugehörige [[Patch (Software)|Patches]] für andere freie Software und für [[Microsoft Windows|Windows]] programmierte.
| |
| | |
| Die Version SSLeay 0.9.1b vom Sommer 1998 wurde nicht mehr veröffentlicht, sondern von einem neuen Team bis Dezember 1998 weiterentwickelt und als OpenSSL 0.9.1c veröffentlicht.
| |
| * Ralf S. Engelschall, Mitbegründer dieser Gruppe, beschreibt die Entwicklung von OpenSSL als Voraussetzung für die Schaffung von ''mod_ssl'', dem meistgenutzten Verschlüsselungsmodul für [[Apache HTTP Server|Apache]]-Webserver.
| |
| * Im Gegensatz zu diesem praktisch fertigen Modul, das nur noch gewartet zu werden brauche, sei die Entwicklung bei OpenSSL noch nicht abgeschlossen.
| |
| * Stattdessen würden engagierte, freie Programmierer weiterhin Applikationen entwerfen und dabei auf den bereits etablierten Basisfunktionen von OpenSSL aufbauen.
| |
| | |
| === Abspaltungen ===
| |
| 2014 kam es in der Folge des Heartbleed-Bug zu mehreren Abspaltungen.
| |
| * Aufgrund der Komplexität des über viele Jahre gewachsenen Projektes und damit einher gehender Schwierigkeiten bei der Auditierung auf Sicherheitslücken entschlossen sich die Entwickler des Betriebssystems [[OpenBSD]] um [[Theo de Raadt]] zur Veröffentlichung einer OpenSSL-Version mit halbiertem Code-Umfang unter dem Namen [[LibreSSL]].
| |
|
| |
|
| Auch Google benutzt und veröffentlicht seitdem einen eigenen [[Abspaltung (Softwareentwicklung)|Fork]] von OpenSSL unter dem Namen ''BoringSSL''.
| |
| * Dieser kommt u. a. in Chrome und Android zum Einsatz.
| |
|
| |
| === FIPS-140-2-Zertifizierung ===
| |
| OpenSSL ist das erste nach [[Federal Information Processing Standard|FIPS]] 140-2 zertifizierte Open-Source-Programm.
| |
| * Hierbei handelt es sich um einen Sicherheitsstandard, den das [[National Institute of Standards and Technology]] (NIST) für das ''Cryptographic Module Validation Program'' festgelegt hat.
| |
|
| |
| Die Freigabe wurde im Januar 2006 erteilt.
| |
| * Im Juni wurde sie vorläufig wieder zurückgezogen, jedoch am 16. Februar 2007 wieder erteilt.
| |
| * Nach Aussage von John Weathersby vom [[Open Source Software Institute]] (OSSI) war das Problem „politischer Natur“ (im Original: ''{{lang |en |a political challenge}}''), da eine vergleichbare Zertifizierung kommerzielle Anbieter erhebliches Geld kostet.
| |
| * Bezahlt wurde der Prozess vom amerikanischen Verteidigungsministerium und interessierten Firmen, die sich von einer freien Lösung finanzielle Einsparungen sowie Standardisierung erhofften.
| |
|
| |
| <noinclude>
| |
| == Anhang == | | == Anhang == |
| === Siehe auch === | | === Siehe auch === |