Software::Security
OpenSSL doch mit FIPS-Zertifizierung?
Laut Aussage des OpenSSL-Validation-Projektleiters des Open Source Software Institute wurde OpenSSL die FIPS-Zertifizierung doch nicht entzogen.
Wie Steve Marquess in einer Email an die Liste von openssl-dev schreibt, erhielt der OpenSSL-Validation-Projektleiter jüngst eine Email des »National Institute of Standards and Technology (NIST)«, aus der hervorgehen soll, dass OpenSSL die FIPS-Zertifizierung doch nicht entzogen wurde. Vielmehr soll sie im Zuge einer Evaluierung einer neu gelinkten Version 1.1 nur zeitweilig aufgehoben worden sein. Laut Marquess sei die Mitteilung über den Widerruf der Zertifizierung lediglich ein Versehen gewesen. Alle bemängelten Probleme seien mittlerweile gelöst und man warte nun auf die neuen Ergebnisse der Evaluierung.
Anfang der Woche widerrief das »National Institute of Standards and Technology (NIST)«, die im Januar 2006 erteilte FIPS-Zertifizierung, die es Behörden in den USA und Kanada ermöglichte, OpenSSL statt proprietärer Software einzusetzen. Das Open Source Software Institute wurde vom Entzug der Zertifizierung nach eigenen Angaben überrascht. Laut dessen Direktor John Weathersby war es das zweite Mal, dass die Zertifizierung aus nicht näher genannten Gründen zurückgezogen wurde.
OpenSSL ist eine frei verfügbare Implementation des Secure Sockets Layers (SSL v2/v3) und Transport Layer Security (TLS v1). Das Paket bietet zahlreiche Funktionen sowohl zur Zertifikatsverwaltung als auch häufig benötigte kryptographische Funktionen. OpenSSL arbeitet mit einem Public-Key Verfahren. Das Zertifikat ist der (RSA) Public-Teil dieses Paares und kann daher offen verteilt werden.
