Wie blödsinnig eine Zertifizierung von Software enden kann, zeigt das aktuelle OpenSSL Beispiel: Entweder man hat das erlaubte, zertifizierte Paket und auch den Fehler, oder man korrigiert den Bug und verliert die Zulassung. Wie sinnvoll ist das denn?

Da geht doch gleich beides schief:

  1. Die Zertifizierung hätte den Fehler schon im Vorfeld finden müssen
  2. Der Ablauf von Fehlerkorrekturen muß Bestandteil der Zertifizierung sein und schnell realisierbar.

So ist allerdings bislang diese FIPS-Zertifizierung anscheinend sinnlos.

Schade drum.