Open source heeft de naam veiliger te zijn dan bedrijfseigen software. Toch stond de achterdeur van het belangrijkste encryptiemechanisme van het web twee jaar lang op een kier. Waar ging het mis?

Inmiddels is duidelijk dat de Duitse ontwikkelaar Robin Seggelman de fout in de code heeft aangebracht, hij neemt dan ook alle verantwoordelijkheid op zich. Vervolgens is ook in het code-reviewproces dat plaats vindt bij belangrijke aanpassingen aan de encryptiesoftware de fout niet opgemerkt. Daardoor kwam het lek in de definitieve versie terecht.

Bijna de helft van alle webservers met een beveiligde verbinding gebruikte deze versie van OpenSSL. Volgens Seggelman zit het probleem in het feit dat OpenSSL heel erg veel gebruikt wordt op internet, maar dat er voor het project nauwelijks menskracht beschikbaar is. "Het heeft miljoenen gebruikers, maar slechts een enkeling draagt actief bij aan het project", zegt hij.

Alles bij de bron; AutomGids