ReSSL: Der nächste Schritt weg von OpenSSL

Die OpenBSD-Entwickler schicken sich an, OpenSSL einen Schritt mehr zu ersetzen. Mit LibreSSL entwickelt man bereits eine Fork der weit verbreiteten SSL-Bibliothek – nun wollen die Entwickler aber auch das OpenSSL-API ablösen. LibreSSL ist mit diesem Programmierinterface voll kompatibel, auf lange Sicht zufrieden sind die Entwickler aus dem OpenBSD-Lager damit aber nicht. Es habe sich herausgestellt, dass die OpenSSL-API "so schlecht ist, dass es sich nicht lohnt, sie zu erhalten."

So jedenfalls Entwickler Ted Unangst, der sich auf einem Vortrag zu den bisherigen Fortschritten bei LibreSSL auf der EuroBSDcon dafür aussprach, eine komplett neue API zu entwickeln. Diese nennt er "Reimagined SSL" oder einfach ReSSL. Ziel der neuen Schnittstelle soll es sein, es Entwicklern die Nutzung einfacher zu machen. Man soll sich nicht um Internas wie das Aushandeln von Zertifikaten und die Kodierung von Paketen kümmern müssen. Der Programmierer sagt "Ich will eine verschlüsselte Verbindung" und die API erledigt genau das – so der Plan von Unangst. Um dahin zu kommen, wollen die Entwickler jegliche Kompatibilität mit der OpenSSL-API über Bord werfen.

ReSSL soll nicht an den LibreSSL-Stack gebunden sein und auch andere Bibliotheken unterstützen. Diese erledigen die eigentliche Arbeit im Hintergrund, während ein Programmierer sich nur um die API zu kümmern braucht. ReSSL soll so konzipiert werden, dass es sich einfach in bestehende Programmiersprachen einbinden lässt, unabhängig davon, welcher SSL-Stack im Hintergrund die Arbeit macht. So soll die API eben auch OpenSSL nutzen können.

Kritischer Punkt bei der Umsetzung des Plans ist die Tatsache, dass Entwickler ihre Programme anpassen müssten, um mit ReSSL zu arbeiten. Ob die neue Schnittstelle die OpenSSL-API verdrängen kann, wird sich zeigen müssen. Ist er fertig geschrieben, wird sich der neue Code erst einmal im Einsatz bewähren müssen. (fab)