Es sei nötig, die TLS-Verschlüsselung im Apache HTTP Server, httpd, anders zu sichern, glaubt die Internet Security Research Group (ISRG).
Die US-Non-Profit-Organisation kündigt an, dieses Modul künftig mit Rust statt mit C umzusetzen. C sei nicht mehr zukunftsfähig für httpd, dies würde die Liste der Security-Lücken zeigen. Das geplante Modul würde die Speicherfehler von C ebenso wie damit verbundene Sicherheitslücken verhindern.
Die ISRG schreibt zur C-Problematik, es werde zwar "unglaublich schwer" sein, den Webserver von Grund auf neu in einer sicheren Sprache zu schreiben oder auch bestehende Nutzer auf eine sichere Alternative zu migrieren. Aber man könne das Problem Schritt für Schritt anpacken.
"ISRG beginnt damit, die Erstellung eines neuen TLS-Moduls für httpd namens mod_tls zu erleichtern. Das neue Modul wird die ausgezeichnete Rustls-Bibliothek für TLS anstelle von OpenSSL verwenden. Wir hoffen, dass mod_tls eines Tages mod_ssl als Standard in httpd ersetzen wird", so der Blogpost des Executive Directors der Organisation.
Einer der Co-Developer von Apache httpd von vor 26 Jahren unterstützt den Vorstoss
im Blogpost. Der Apache-Webserver gilt als einer der dienstältesten, aber nach wie vor als einer der wichtigsten Open-Source-Elemente des heutigen Internets.
Google finanziert die definierten Arbeiten der ISRG.