Suchen

Definition OpenSSL Was ist OpenSSL?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

OpenSSL ist eine frei verfügbare Implementierung der Verschlüsselungsprotokolle SSL und TLS auf Basis von Open Source Software. Die OpenSSL-Bibliothek umfasst verschiedene Tools und ist in der Programmiersprache C geschrieben. Sie ist auf Webservern weit verbreitet.

Firmen zum Thema

OpenSSL ist eine frei verfügbare Open Source Implementierung für SSL und TLS als Software-Bibliothek mit verschiedenen Tools.
OpenSSL ist eine frei verfügbare Open Source Implementierung für SSL und TLS als Software-Bibliothek mit verschiedenen Tools.
(Bild: OpenSSL Software Foundation)

Die frei verfügbare Open Source Software OpenSSL implementiert die Verschlüsselungsprotokolle SSL (Secure Sockets Layer) und TLS (Transport Layer Security). Mit Hilfe der verschiedenen in der Software-Bibliothek vorhandenen Tools lassen sich unter anderem private Schlüssel erstellen, Zertifikate verwalten oder Ent- und Verschlüsselungsvorgänge ausführen. Viele der Operationen werden mit dem Programm "openssl" auf Kommandozeilenebene durchgeführt. Geschrieben ist die Software in der Programmiersprache C. Weltweit setzen geschätzt etwa zwei Drittel aller Webserver die Open Source Software ein.

Die Geschichte von OpenSSL

Entstanden ist die Software aus SSLeay Mitte der 1990er Jahre. Ziel war es, SSL auch außerhalb der Vereinigten Staaten mit starker Verschlüsselung einsetzen zu können. Die SSLeay Implementierung entstand in Australien und war nicht den Exportbeschränkungen der USA unterlegen. Der Name setzt sich aus SSL und den Initialen des Programmierers Eric A. Young zusammen. 1998 wurde die neue Version von SSLeay unter der Bezeichnung OpenSSL 0.9.1c veröffentlicht. Auf Basis von OpenSSL spalteten sich über die Jahre verschiedene Forks wie LibreSSL ab.

Wo kommt OpenSSL zum Einsatz?

OpenSSL ist auf Servern mit freiere Software quasi Standard. Gängige Software wie die Webserver Apache oder nginx, verschiedene FTP-Server und Mailserver verwenden die Verschlüsselungsimplementierung. Aufgrund der liberalen Lizenz, die die Verwendung des Codes auch in kommerzieller Software erlaubt, ist in vielen nicht quelloffenen Programme der Programmcode ebenfalls integriert. Auf Clientseite nutzen Browser und Mail-Programme in der Regel andere SSL-Bibliotheken.

Heartbleed-Bug

Eine der gravierendsten Sicherheitslücken im Internet- und Computerumfeld war der so genannte Heartbleed-Bug, der auf OpenSSL zurückzuführen war. Aufgrund des Bugs war es möglich, Teile des Arbeitsspeichers der an einer verschlüsselten Verbindung beteiligten Gegenstelle auszulesen. Dadurch konnten beispielsweise Daten wie private Schlüssel oder Passwörter von den Systemen unbefugt kopiert werden. Der Angriff auf einen Server ließ sich mit einem einfachen Verbindungsaufbau auf Basis eines manipulierten Datenpakets initiieren. Betroffen waren die Versionen 1.0.1 bis 1.0.1f und diverse Beta-Versionen. Die Version 1.0.1g beseitigte das Problem. Insgesamt waren zahlreiche Versionen über einen Zeitraum von mehr als zwei Jahren zwischen 2012 und 2014 von dem Bug betroffen. Auch in Android und anderen Betriebssystemen war der Bug zu finden. Da viele kommerzielle Programme den fehlerhaften Code der freien Software verwendeten, hatte der Heartbleed-Bug eine riesige Reichweite nicht nur in der Open Source Welt.

LibreSSL als Fork von OpenSSL

Auch LibreSSL ist eine freie Implementierung der Verschlüsselungsprotokolle TLS und SSL. LibreSSL entstand 2014 aufgrund des Heartbleed-Bugs. Die bisherige Open Source Software sollte von Altlasten befreit und massiv verschlankt werden, um die Fehleranfälligkeit zu verringern. Erstellt wurde der LibreSSL Fork vom OpenBSD-Team. LibreSSL 2.0.0 ist auf den Betriebssystemen OpenBSD, FreeBSD, Solaris, Linux, macOS und Windows lauffähig.

(ID:45208722)

Über den Autor