BoringSSL is de werknaam van Google's nieuwe, aangepaste versie van het versleutelingsprotocol OpenSSL. De fork is door Google voorzien van meerdere verbeteringen op het gebied van beveiliging. Google heeft de broncode van het BoringSSL-project gepubliceerd. De code moet uiteindelijk worden verwerkt in de Chrome-browser via het Chromium-project.

Patches

BoringSSL is volgens Google mede nodig omdat de patches die het bedrijf aanleverde niet altijd werden verwerkt in de releases van OpenSSL. De fork stelt Google in staat op meer aanpassingen te maken gericht op zijn eigen producten. "We hebben vele jaren lang patches bovenop OpenSSL gebruikt. Sommigen van deze patches zijn geaccepteerd in de centrale OpenSSL-repository, maar velen komen niet overeen met OpenSSL's garanties over API en ABI-stabiliteit en velen zijn net iets te experimenteel", schrijft Google-ontwikkelaar Adam Langley in een blogpost.

Heartbleed en andere bugs

In OpenSSL werd eerder dit jaar een groot beveiligingsgat gevonden, die bekend staat onder de naam Heartbleed. Dat leidde tot forse paniek omdat een meerderheid van de websites en internetdiensten werd getroffen. Deze maand volgde de ontdekking van een bug die een man-in-the-middle mogelijk maakte.

Google heeft een patch voor dat laatste lek, dat al 16 jaar in OpenSSL zat, ook uitgebracht als update voor Android 4.4.4.