OpenSSL è troppo danneggiato e non si può riparare, meglio ricominciare da quello che c'è di buono. Nasce così LibreSSL, un "fork" del progetto originale creato dal fondatore di OpenBSD Theo de Raadt. Le circostanze sono quelle dell'ormai noto bug "heartbleed", che ha causato innumerevoli problemi e grandissime spese per riparare ai danni.
La falla risale al 2012 ed è ormai risolta, ma secondo de Raadt in OpenSSL c'è troppo codice ormai da cestinare. "Abbiamo rimosso metà del codice sorgente di OpenSSL in una settimana. E tenuto gli avanzi", ha infatti affermato il programmatore, specificando che il codice non è abbastanza chiaro per lavorarci come si deve.
Buona parte del problema sta nel fatto che lo sviluppo di OpenSSL ha sempre sofferto di una drammatica carenza di fondi, il che è paradossale se si pensa che su di esso si fonda la sicurezza di centinaia di migliaia di siti web in tutto il mondo.
Il progetto LibreSSL conterà invece sul sostegno finanziario di OpenBSD Foundation e OpenBSD Project. La sua pagina web "è scientificamente progettata per infastidire gli hipster del web", e riporta il significativo invito a "donare ora per fermare il Comic Sans e i blink tag". In altre parole, astenersi perditempo e fricchettoni, qui si lavora sul serio.
de Raadt ha sostanzialmente cestinato tutte le parti di OpenSSL che riteneva obsolete e inutili, puntando a realizzare un'infrastruttura crittografica solida, affidabile e soprattutto facile da capire e riparare in caso di necessità. Sono state rimosse per esempio 90.000 linee di codice C.
Questo progetto alternativo non si traduce comunque in un pensionamento anticipato di OpenSSL. Tutt'altro, il progetto va avanti e ora l'obiettivo è ottenere i fondi. "Sto parlando con voi, aziende della lista Fortune 1000", ha scritto il presidente della fondazione OpenSSL Steve Marquess.
"A voi che usate OpenSSL nei vostri firewall, dispositivi, cloud, sistemi finanziari e prodotti di sicurezza che vendete per profitti e che usate per rendere sicure le vostre infrastrutture interne e le vostre comunicazioni. A voi che non dovete finanziare un team interno di programmatori per gestire il codice crittografico, per poi rivolgervi a noi per consulenze gratuite quando non capite come usarlo. Parlo a quelli che non hanno mai alzato un dito per dare un contributo alla comunità open source che vi ha fatto questo regalo. Sapete di chi sto parlando".
Un messaggio che tradisce un'inevitabile amarezza ma che dopotutto dice le cose come stanno. Marquess fa lo stesso riguardo a Heartbleed: "il mistero non sta nel fatto che alcuni volontari sovraccarichi di lavoro non abbiano notato un bug, ma piuttosto nel fatto che non è accaduto più spesso".
Quanto alla divisione tra LibreSSL e OpenSSL, per il momento è impossibile dire che cosa accadrà. Se il nuovo progetto prenderà piede potrebbe finire per affiancarsi a quello esistente, offrendo così a tutto il Web un'alternativa ma soprattutto una strada per rendere tutte le nostre comunicazioni più sicure. E senza pagare un centesimo, a parte le donazioni volontarie. Voi quante ne avete fatte ultimamente?