Google è al lavoro su un fork di OpenSSL , la libreria crittografica salita in questi mesi alla ribalta per via del “catastrofico” bug noto come Heartbleed . Un lavoro derivativo che si è reso necessario non solo per questioni di sicurezza ma anche per la difficoltà di gestire la versione personalizzata di OpenSSL usata internamente da Mountain View.
Ad annunciare l’avvio dello sviluppo di BoringSSL (nome probabilmente temporaneo) è il programmatore di Google Adam Langley sul suo blog personale : fino a questo momento la corporation ha adottato il codice di OpenSSL includendovi 70 diverse patch su svariate basi di codice sorgente, spiega Langley, una situazione divenuta ingestibile e che ha spinto l’azienda a cambiare il modello sin qui seguito.
BoringSSL dovrebbe fare “presto” la sua comparsa nei sorgenti di Chromium/Chrome, spiega l’ingegnere, e non è pensato per sostituire del tutto OpenSSL, visto che Google continuerà a contribuire a quest’ultimo progetto con codice sorgente e non solo.
Più che costituire un’alternativa “general purpose” a OpenSSL come è invece LibreSSL , quindi, BoringSSL dovrebbe essere una variante della cruciale libreria per le comunicazioni telematiche sicure costruita a partire delle esigenze specifiche dell’ecosistema di Google.
Sempre parlando di OpenSSL ed Heartbleed, infine, a due mesi dalla pubblicazione dei dettagli sul bug la situazione è preoccupante: circa la metà dei 600mila server vulnerabili scoperti in principio continua a funzionare con la versione fallata della libreria, e gli esperti temono che di Heartbleed si continuerà a sentir parlare per lungo tempo.
Alfonso Maruccia