Nikomu není třeba připomínat závažnost chyby Heartbleed OpenSSL. Lidé spíše hledají řešení: jak to napravit nyní a jak zabránit podobné události v budoucnosti. Za tímto účelem stojí za to podívat se za OpenSSL a mít na paměti, že je to jeden z několika konkurenčních softwarových projektů, které uspokojí mnoho stejných potřeb.
První kandidát: rodina knihoven Mozilla Network Security Services (NSS), dostupná na základě několika licenčních ujednání a s poměrně pravidelným vydáváním, poslední debut v polovině března 2014. Předvídatelně, vlastní aplikace Mozilly - Firefox, Mozilla Suite, Thunderbird - - všichni to používají, ale stejně tak i spousta známých aplikací třetích stran: AOL Instant Messenger a mnoho klientů třetích stran pro tuto službu; OpenOffice.org 2.0; a mnoho serverových produktů Red Hat, jako je Red Hat Directory Server a mod_nss pro webový server Apache httpd.
NSS je obzvláště atraktivní v mod_nss, protože ten zahrnuje podporu seznamů odvolání certifikátů - jeden z mnoha klíčových mechanismů pro lepší ochranu platnosti certifikátu. Funguje také ruku v ruce s dalším modulem Apache, mod_revocator, který umožňuje automatické zpracování seznamů odvolání bez restartu httpd.
Další možnost: GnuTLS, který má širokou podporu mnoha různých protokolů a standardů a je k dispozici v rámci relativně liberálního licenčního schématu (LGPL 2.0), které umožňuje jeho použití v uzavřených zdrojových aplikacích. Také je poměrně pravidelně aktualizován; posledním stabilním vydáním byla verze 3.3.0, která vyšla 10. dubna 2014. GnuTLS byl vlastně vytvořen jako reakce na licenční schémata Apache a BSD OpenSSL nekompatibilní s GPL.
Ještě je spousta dalších implementací: Polar SSL, který je k dispozici v open source i komerčně licencované verzi, a MatrixSSL, také multilicenční a vytvořený pro vestavěné aplikace.
Servery nejsou jediným důvodem, proč si o náhradách za OpenSSL vážně myslet; koneckonců není těžké je udržovat. Alternativy SSL mohou být zapotřebí v jiných položkách, jako jsou domácí směrovače nebo kabelové skříně, které jsou zřídka aktualizovány (pokud vůbec) a musí být založeny na kódu, který je auditován co nejpřísněji.
Ne všechny náhražky by fungovaly jako náhrada za drop-in a některé mohou být v určitých kruzích méně užitečné kvůli licenčním obavám. Ale stojí za to se podívat na to, co tyto projekty nabízejí. Z dlouhodobého hlediska by se mohlo vyplatit spíše přepínat než opravovat.
Tento článek „After Heartbleed: 4 OpenSSL alternatives that work,“ byl původně publikován na .com. Získejte první slovo o tom, co opravdu znamenají důležité technologické novinky, s blogem Tech Watch. Nejnovější zprávy o obchodních technologiích najdete na Twitteru na .com.
