Google gaat OpenSSL verruilen voor BoringSSL, zijn eigen fork van het OpenSSL-project. Daarbij worden veranderingen in de OpenSSL-code wel doorgevoerd. Volgens Google is het praktischer om een eigen fork van OpenSSL te hebben.

Tot nu toe gebruikte Google OpenSSL, een van de veelgebruikte ssl/tls-suites, in Google Chrome, Chrome OS en Android. Daarbij voerde Google zelf al patches door die door OpenSSL nog niet waren goedgekeurd. De zoekgigant gaat het nu echter anders aanpakken: het bedrijf integreert zijn eigen OpenSSL-fork BoringSSL in Chrome.

Daarbij zal het bedrijf inkomende patches vanuit het OpenSSL-team wel nog doorvoeren, en bugfixes doorgeven aan datzelfde team. Ook met LibreSSL, een fork van het OpenSSL-project door OpenBSD, zullen patches en bugs worden gedeeld. Het is nog niet bekend wanneer BoringSSL in de stabiele versie van Chrome zal worden toegevoegd. Op termijn moet ook Android BoringSSL in plaats van OpenSSL krijgen.

 

Het is onduidelijk in hoeverre de beslissing is ingegeven door Heartbleed, een omvangrijke bug in OpenSSL waarbij aanvallers het interne geheugen van de server konden uitlezen. Het BoringSSL-project was al opgestart voordat die bug aan het licht kwam.