Google lance BoringSSL, son alternative à OpenSSL

Le groupe Mountain View lance un fork d'OpenSSL qui est en fait la version que le géant utilise en interne.

Google vient de révéler BoringSSL, son fork d'OpenSSL, la librairie victime de la fameuse faille Heartbleed (qui continue, selon les tous derniers chiffres, d'affecter plus de 300 000 serveurs). Google explique avoir dû patcher et adapter OpenSSL pour ses besoins internes, et si certains de ces patchs ont pu être reversés dans le code d'OpenSSL, d'autres ne remplissaient pas toutes les conditions, de stabilité notamment, pour pouvoir être acceptés.

Google estime que ces patchs sont désormais trop nombreux et trop complexes à gérer en l'état, et pense donc qu'un fork s'impose. "Nous ne garantissons pas la stabilité du code, et nous n'avons pas pour but de remplacer OpenSSL", précise l'ingénieur de Google à l'origine de ce projet, qui a ajouté sur un forum avoir aussi nettoyé le code.

C'est donc une troisième méthode qui vient de voir le jour, car en plus de la version classique OpenSSL, cette version signée Google  d'OpenSSL s'ajoute aussi à celle lancée par les développeurs d'OpenBSD, et baptisée LibreSSL.

Serveurs / Google