基本情報

概要

LibreSSL(リブレ エスエスエル)とは、SSL/TLSプロトコルのオープンソース実装(通信用ソフトウェア)で、「OpenSSL」の派生改良版です。圧倒的シェアを持つが問題が多い「OpenSSL」を代替できるものとして期待されています。

基本説明

LibreSSLは、OpenBSD Projectにより「OpenSSL」からフォークされたソフトウェアです。

OpenSSLを全面的にリファクタリングすることにより、安定/セキュアなソフトウェアにすることを目的としています。

「セキュアで安定したコードベース」「潜在バグ修正」「現代的プログラミングプラクティス導入」「ポータビリティ再設計」などを目指しています。

主な特徴

「OpenSSL」の問題点

OpenSSLは、httpsでのセキュア暗号化通信のほぼすべてで使用されており、圧倒的シェアを持つSSL/TLS通信用ソフトウェアです。事実上のデファクトスタンダードになっています。
→OpenSSLとは

OpenSSLプロジェクトには、運営面/品質面などにおいて多くの問題があるとされています。
・サポート体制が弱い(メンテナンスが十分になされていない)
　→世界中を震撼させた「Heartbleed」脆弱性
・処理速度向上用独自実装「malloc」が非セキュア
・外部からのパッチをなかなかマージしない
　→外部関係者がバグ報告したものが何年も放置されている
・ソースコード品質が低い
　→複雑なマクロ構造で分かりにくい

「LibreSSL」へフォーク

セキュリティを重要視するOpenBSDプロジェクトは、多くの問題があるOpenSSLを使い続けることはできないと判断し、2014年に「OpenSSL 1.0.1」からフォークして「LibreSSL」プロジェクトをスタートさせました。

フォーク後の最初の1週間で90000行以上の使われていない不要なコードを削減しました。その後も改善を続けており、LibreSSLはOpenSSLに較べて、非常に健全なソースコードになっており、セキュリティを格段に高めています。

継続的メンテナンスを続けているLibreSSLは「OpenSSLを代替するもの」として大きく期待されています。

「OpenSSL」との互換性/相違点

LibreSSLは、OpenSSLとの互換性(プログラミングAPIレベル)を持たせることを基本方針としています。差し替えてリビルドするだけで置き換えられる狙いがあります。徹底したリファクタリングのすべてにおいて、OpenBSDポートツリーを対象としたAPI互換性テストが行われています。

しかし、フォーク後の数々のメンテナンスにより、両者には機能的な差異が生まれています。

主な相違点
・OpenSSLとのバイナリ互換性の欠如
・「Heartbeat拡張」の削除
・疑似乱数生成アルゴリズム「Dual_EC_DRBG」の削除
・各種機能削除(FIPS140-2サポート、SRP、SSLv3、動的エンジンサポート、MDC-2DES、SHA-0など)
・脆弱プロトコルの無効化
・機能追加(新しい暗号スイートなど)
・メモリ呼び出しは、OpenSSL独自方式から標準ライブラリに変更
・安全用コンパイルオプション/フラグのデフォルト有効化

他プラットフォーム版

LibreSSLはOpenBSD用としてフォークされましたが、他プラットフォーム用に移植されたポータブル版もリリースされています。

サポートプラットフォームは、
・BSD系
・Linux系
・商用Unix系
・Mac OS X
・Windows系
など多岐に渡っています。

同様製品

同様な機能を提供する製品として、次のようなものがあります。

オープンソース製品：「OpenSSL」など。

導入事例

「OpenBSD 5.6」からLibreSSLが標準になっています。

その他の各種OSでも「OpenSSL」 から「LibreSSL」へ乗り換える動きが進んでいます。

ライセンス情報

LibreSSLのライセンスは「Apache License 1.0」「4条項BSDライセンス」「ISCライセンス」「パブリックドメイン」です。このライセンスに従うことを条件として、ソースコードの改変と公開が許可されています。

ダウンロード

ダウンロードページ

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。