ISRG разрабатывает новый TLS-модуль для web-сервера Apache

Некоммерческая организация ISRG (Internet Security Research Group) сообщила о запуске проекта по разработке нового модуля с реализацией протокола TLS для HTTP-сервера Apache. Финансовая поддержка проекта будет обеспечиваться Google.

Новый модуль, получивший название mod_tls, станет более безопасной альтернативой текущему модулю mod_ssl (отвечает за поддержку криптографических операций для установки HTTPS-соединения на web-сервере Apache). Mod_tls будет выполнять аналогичные функции, но его разработка предполагает использование более безопасных приемов программирования.

В частности, модуль будет основан на Rustls - написанной на языке Rust свободной библиотеке, разработанной в качестве альтернативы написанному на С проекту OpenSSL. Применение Rust позволит уменьшить риск появления уязвимостей, вызванных обращением к области памяти после ее освобождения и выходом за границы буфера.

Главным разработчиком mod_tls станет Стефан Эйссинг (Stefan Eissing), один из коммитеров Apache HTTP

В организации надеются, что после завершения работы над проектом команда разработчиков Apache HTTP реализует mod_tls в качестве модуля по умолчанию и откажется от устаревающего и небезопасного компонента mod_ssl.

Согласно данным W3Techs, на сегодняшний день Apache HTTP является самым распространенным web-сервером. Его используют 34,9% сайтов, на втором месте Nginx - 33,3%.

ISRG (Internet Security Research Group) - американская некоммерческая организация, которая является учредителем проекта Let's Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищенности интернета.