Написанный на Rust модуль mod_tls станет альтернативой текущему модулю mod_ssl.

Некоммерческая организация ISRG (Internet Security Research Group) сообщила о запуске проекта по разработке нового модуля с реализацией протокола TLS для HTTP-сервера Apache. Финансовая поддержка проекта будет обеспечиваться Google.

Новый модуль, получивший название mod_tls, станет более безопасной альтернативой текущему модулю mod_ssl (отвечает за поддержку криптографических операций для установки HTTPS-соединения на web-сервере Apache). Mod_tls будет выполнять аналогичные функции, но его разработка предполагает использование более безопасных приемов программирования.

В частности, модуль будет основан на Rustls — написанной на языке Rust свободной библиотеке, разработанной в качестве альтернативы написанному на С проекту OpenSSL. Применение Rust позволит уменьшить риск появления уязвимостей, вызванных обращением к области памяти после ее освобождения и выходом за границы буфера.

Главным разработчиком mod_tls станет Стефан Эйссинг (Stefan Eissing), один из коммитеров Apache HTTP

В организации надеются, что после завершения работы над проектом команда разработчиков Apache HTTP реализует mod_tls в качестве модуля по умолчанию и откажется от устаревающего и небезопасносного компонента mod_ssl.

Согласно данным W3Techsб на сегодняшний день Apache HTTP является самым распространенным web-сервером. Его используют 34,9% сайтов, на втором месте Nginx — 33,3%.

ISRG (Internet Security Research Group) — американская некоммерческая организация, которая является учредителем проекта Let's Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищенности интернета.

Источник: securitylab