Ninguém precisa ser lembrado da gravidade do Heartbleed, o bug descoberto no OpenSSL. Em vez disso, as pessoas estão à procura de soluções: como corrigi-lo e como evitar que falhas semelhantes venham a ocorrer no futuro.
Primeiro candidato: Mozilla Network Security Services (NSS), coleção de bibliotecas criptográficas disponível sob múltiplos arranjos de licença e com um ciclo bastante regular de lançamentos. A última estreou em meados de março deste ano. Previsivelmente, as próprias aplicações da Mozilla – Firefox, Mozilla Suite, Thunderbird – usam o NSS, assim como uma série de conhecidos aplicativos de terceiros: AOL Instant Messenger e muitos clientes de terceiros para o serviço; OpenOffice.org 2.0; vários produtos da Red Hat, como o Red Hat Directory Server e o mod_nss para o servidor Apache.
NSS é especialmente atraente em mod_nss, já que este último inclui suporte para listas de certificados revogados – um de uma série de mecanismos-chave para melhor proteger a validade do certificado. Ele também trabalha lado a lado com outro módulo do Apache,mod_revocator, o que torna possível processar automaticamente listas de revogação sem reiniciar httpd.
Outra possibilidade: GnuTLS, que tem amplo suporte para vários protocolos e padrões e está disponível sob licenciamento relativamente liberal (LGPL 2.0), que permite que ele seja usado em aplicações de código fechado. Também é atualizado com bastante regularidade; a última versão estável é a 3.3.0, lançada em 10 de abril de 2014.
Outras implementações são o Polar SSL, disponível tanto em open source quanto em versões licenciadas comercialmente, e o MatrixSSL, também multilicensed e construída para aplicações embarcadas.
Os servidores não são a única razão para pensar muito sobre substitutos para o OpenSSL. Podem ser necessárias alternativas SSL em outras rubricas, tais como roteadores domésticos, que não são atualizados frequentemente e deve ser baseada em código auditado o mais rigorosamente possível.
Alguns substitutos podem ser menos úteis em certos círculos, devido a preocupações de licenciamento. Mas vale a pena olhar o que esses projetos têm para oferecer. No longo prazo, pode ser mais vantajoso mudar em vez de aplicar um patch no OpenSSL.
Via: CIO