which-software-is-still-not-openssl-compliant.org (AKA : on doit supprimer GnuTLS)

March 4, 2014

Jaloux qu’on ne parle pas de lui, on découvre aujourd’hui que le développeur de GnuTLS avait lui aussi écrit son goto fail\^Wcleanup.

Combien de temps allons-nous devoir continuer à utiliser cette boue ? Debian nous force à l’utiliser à cause du choix de licence des développeurs d’OpenSSL.

Pourtant, le constat est simple : La sécurité de GnuTLS n’est pas au niveau d’OpenSSL (niveau qui n’est pourtant pas élevé, mais faut bien avouer que le protocole SSL est complexe).

Maintenant, quelles sont les options ?

  • Pousser chaque développeur d’application à faire une exception OpenSSL

  • Individuellement, recompiler ses paquets avec le support d’OpenSSL

  • Demander aux développeurs d’OpenSSL de changer pour une licence autorisant le linkage avec une application GPL.

Seule la première option semble possible, mais demanderait un gros travail à fournir. Qui monte un which-software-is-still-not-openssl-compliant.org pour faire pression sur tous les logiciels important n’ayant pas une exception de licence ?

Update quelque temps après Heartbleed : CVE-2014-0160 ne change rien à mon propos. Je ne dis pas qu’OpenSSL est le projet parfait avec une sécurité incroyable. Il faut juste se rendre compte qu’il y beaucoup plus d’audits effectués sur OpenSSL que GnuTLS et que si Debian utilise GnuTLS, c’est uniquement pour des raisons politiques et non techniques.