Definition OpenSSL

Was ist OpenSSL?

| Autor / Redakteur: Tutanch / Peter Schmitz

OpenSSL ist eine frei verfügbare Open Source Implementierung für SSL und TLS als Software-Bibliothek mit verschiedenen Tools.
OpenSSL ist eine frei verfügbare Open Source Implementierung für SSL und TLS als Software-Bibliothek mit verschiedenen Tools. (Bild: OpenSSL Software Foundation)

OpenSSL ist eine frei verfügbare Implementierung der Verschlüsselungsprotokolle SSL und TLS auf Basis von Open Source Software. Die OpenSSL-Bibliothek umfasst verschiedene Tools und ist in der Programmiersprache C geschrieben. Sie ist auf Webservern weit verbreitet.

Die frei verfügbare Open Source Software OpenSSL implementiert die Verschlüsselungsprotokolle SSL (Secure Sockets Layer) und TLS (Transport Layer Security). Mit Hilfe der verschiedenen in der Software-Bibliothek vorhandenen Tools lassen sich unter anderem private Schlüssel erstellen, Zertifikate verwalten oder Ent- und Verschlüsselungsvorgänge ausführen. Viele der Operationen werden mit dem Programm "openssl" auf Kommandozeilenebene durchgeführt. Geschrieben ist die Software in der Programmiersprache C. Weltweit setzen geschätzt etwa zwei Drittel aller Webserver die Open Source Software ein.

Die Geschichte von OpenSSL

Entstanden ist die Software aus SSLeay Mitte der 1990er Jahre. Ziel war es, SSL auch außerhalb der Vereinigten Staaten mit starker Verschlüsselung einsetzen zu können. Die SSLeay Implementierung entstand in Australien und war nicht den Exportbeschränkungen der USA unterlegen. Der Name setzt sich aus SSL und den Initialen des Programmierers Eric A. Young zusammen. 1998 wurde die neue Version von SSLeay unter der Bezeichnung OpenSSL 0.9.1c veröffentlicht. Auf Basis von OpenSSL spalteten sich über die Jahre verschiedene Forks wie LibreSSL ab.

Wo kommt OpenSSL zum Einsatz?

OpenSSL ist auf Servern mit freiere Software quasi Standard. Gängige Software wie die Webserver Apache oder nginx, verschiedene FTP-Server und Mailserver verwenden die Verschlüsselungsimplementierung. Aufgrund der liberalen Lizenz, die die Verwendung des Codes auch in kommerzieller Software erlaubt, ist in vielen nicht quelloffenen Programme der Programmcode ebenfalls integriert. Auf Clientseite nutzen Browser und Mail-Programme in der Regel andere SSL-Bibliotheken.

Heartbleed-Bug

Eine der gravierendsten Sicherheitslücken im Internet- und Computerumfeld war der so genannte Heartbleed-Bug, der auf OpenSSL zurückzuführen war. Aufgrund des Bugs war es möglich, Teile des Arbeitsspeichers der an einer verschlüsselten Verbindung beteiligten Gegenstelle auszulesen. Dadurch konnten beispielsweise Daten wie private Schlüssel oder Passwörter von den Systemen unbefugt kopiert werden. Der Angriff auf einen Server ließ sich mit einem einfachen Verbindungsaufbau auf Basis eines manipulierten Datenpakets initiieren. Betroffen waren die Versionen 1.0.1 bis 1.0.1f und diverse Beta-Versionen. Die Version 1.0.1g beseitigte das Problem. Insgesamt waren zahlreiche Versionen über einen Zeitraum von mehr als zwei Jahren zwischen 2012 und 2014 von dem Bug betroffen. Auch in Android und anderen Betriebssystemen war der Bug zu finden. Da viele kommerzielle Programme den fehlerhaften Code der freien Software verwendeten, hatte der Heartbleed-Bug eine riesige Reichweite nicht nur in der Open Source Welt.

Viele Server immer noch verwundbar

Ein Jahr nach Heartbleed

Viele Server immer noch verwundbar

08.04.15 - Fast drei Viertel aller externen Server der Global 2000-Unternehmen sind noch immer für Hackerangriffe auf OpenSSL durch Heartbleed anfällig. Das zeigt eine Analyse des Sicherheits-Anbieters Venafi die im ersten Quartal 2015 durchgeführt wurde. lesen

LibreSSL als Fork von OpenSSL

Auch LibreSSL ist eine freie Implementierung der Verschlüsselungsprotokolle TLS und SSL. LibreSSL entstand 2014 aufgrund des Heartbleed-Bugs. Die bisherige Open Source Software sollte von Altlasten befreit und massiv verschlankt werden, um die Fehleranfälligkeit zu verringern. Erstellt wurde der LibreSSL Fork vom OpenBSD-Team. LibreSSL 2.0.0 ist auf den Betriebssystemen OpenBSD, FreeBSD, Solaris, Linux, macOS und Windows lauffähig.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Verschlüsselung und System-Performance

Kryptographie im KFZ

Verschlüsselung und System-Performance

Kryptographie gewinnt für Automotive Cyber Security an Bedeutung. Die Vernetzung von Autos mit dem Internet und untereinander, sowie deren Auswirkungen auf die Automotive Security werden schon seit längerer Zeit diskutiert. Welche Auswirkungen haben Verschlüsselungs­verfahren aber auf die Performance solcher sicherheitskritischen embedded Systeme? lesen

HTTPS mit TLS 1.3 in der Praxis

Transportverschlüsselung Teil 3

HTTPS mit TLS 1.3 in der Praxis

Wem die Sicherheit von HTTPS-Verbindungen am Herzen liegt, der ist gut beraten, die TLS-Konfiguration zu überdenken, denn ohne eine moderne Transportverschlüsselung sind gute Vorsätze beim Datenschutz nur ein Papiertiger. Zwar ist TLS 1.3 nun offiziell aus den Startlöchern, aber die Implementierung ist leider voller Tücken und Überraschungen. lesen

Sicherheit zum Nulltarif

[Gesponsert]

Open Source Security Appliances

Sicherheit zum Nulltarif

"Security out of the Box" entpuppt sich oft als Illusion. Auch Appliances etablierter Hersteller sind nicht vor Angriffen gefeit und schlagen durch Lizenzkosten kräftig aufs Budget. Open-Source-Lösungen wie OPNsense sind eine Alternative, wenn die Hardware passt. lesen

TLS 1.3 - Viel heiße Luft oder ein großer Wurf?

Transportverschlüsselung Teil 1

TLS 1.3 - Viel heiße Luft oder ein großer Wurf?

Die Bedeutung der Datenverschlüsselung hat in den vergangenen Jahren massiv zugenommen. Beim Entwurf von TLS 1.3 bestand das Ziel darin, der aufkeimenden Bedrohung durch das Quantencomputing mit einer anspruchsvolleren Verschlüsselung gegenzusteuern, ohne dabei die User-Agents zu überfordern und gleichzeitig eine höhere Performance für latenzsensible IoT-Anwendungen zu liefern. lesen

Was ist AES (Advanced Encryption Standard)?

Definition AES-Verschlüsselung

Was ist AES (Advanced Encryption Standard)?

Der Advanced Encryption Standard (AES) ist eine sehr sichere symmetrische Verschlüsselungsmethode. Sie arbeitet mit Blockverschlüsselung und ist der Nachfolger des Data Encryption Standards (DES). Weltweit wird AES in vielen verschiedenen Bereichen verwendet. lesen

Was ist OpenVPN?

Definition OpenVPN

Was ist OpenVPN?

Bei OpenVPN handelt es sich um eine frei verfügbare Open-Source-Software, mit der sich verschlüsselte virtuelle private Netze (VPNs) aufbauen lassen. Die Software unterstützt viele verschiedene Betriebssysteme und kann einzelne Clients aber auch ganze Netzwerke koppeln. lesen

Was ist TLS (Transport Layer Security)?

Definition Transport Layer Security (TLS)

Was ist TLS (Transport Layer Security)?

Bei der Transport Layer Security (TLS) handelt es sich um ein Protokoll der Schicht 5 des ISO/OSI-Schichtenmodells, das für eine verschlüsselte Übertragung von Daten im Internet sorgt. TLS ist der Nachfolger von SSL und wird beispielsweise von Browsern für sichere HTTPS-Verbindungen verwendet. lesen

Security – ein Bremsklotz für DevOps?

Sichere Anwendungsentwicklung

Security – ein Bremsklotz für DevOps?

DevOps verspricht Kostenreduktion, Geschwindigkeit und Agilität, Sicherheit gilt da eher als Hindernis. Mit DevSecOps rückt Security im Software Development Lifecycle aber buchstäblich mehr in den Mittelpunkt. lesen

Open Source macht Hintertüren transparent

Schutz vor kryptographischen Backdoors

Open Source macht Hintertüren transparent

Unternehmen setzen häufig auf herstellerspezifische Software, um Daten zu verschlüsseln und User zu authentifizieren. Doch das ist riskant, weil der Druck auf Hersteller wächst, Hintertüren in ihre Software einzubauen. Einen Ausweg bietet Open-Source-Software. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45208722 / Definitionen)