Najpopularniejsza biblioteka kryptograficzna z otwartym kodem, OpenSSL, w styczniu 2006 pomyślnie przeszedl proces certyfikacji wedlug normy FIPS 140-2 na poziomie pierwszym. Jest to pierwszy z warunków niezbędnych, by bibliotekę mogly wykorzystywać w swoich projektach instytucje rządowe, podpadające pod amerykański odpowiednik ustawy o ochronie informacji niejawnej. Sponsorami kosztownej certyfikacji bylo kilka firm oraz OSSI (Open-Source Security Institute).

Procedura miala być rozszerzana na kolejne poziomy normy FIPS 140-2. Tak się jednak nie stalo - po pól rok NIST odrzucil zgloszony przez OSSI pakiet, nie wyjaśniając jednak dlaczego. Pracownicy OSSI sugerują, że za tą decyzją stoi lobby komercyjnych producentów oprogramowania, którym dopuszczenie do certyfikacji darmowego pakietu jest bardzo nie w smak. Instytucje publiczne rocznie wydają setki tysięcy dolarów na licencje na certyfikowane, komercyjne moduy kryptograficzne i pojawienie się na rynku darmowego pakietu z certyfikatem w znaczący sposób popsuoby im rynek. Równocześnie jednak umożliwiloby zaoszczędzenie znaczących sum w budżetach instytucji, korzystających dotychczas z pakietów komercyjnych.

Przedstawiciel jednej z zainteresowanych firm, prezes SSH Communications George Adams usprawiedliwia zarzuty wobec OpenSSL tym, że kod biblioteki podlega ciąglym zmianom co spowodowaloby szybką utratę certyfikatu wraz z pojawieniem się nowej wersji. Jest to zarzut o tyle chybiony, że certyfikat wydaje się na konkretną wersję biblioteki i dana instytucja ma prawo korzystać tylko z tej wersji. W przypadku gdy producent chce wprowadzić do aplikacji istotne zmiany, konieczna jest recertyfikacja calości. Równocześnie jednak zarzut Adamsa jest golem do wlasnej bramki, bo dokladnie taka sama procedura obowiązuje w przypadku produktów komercyjnych, które też wychodzą w nowych wersjach zawierających poprawki i ulepszenia.

Zobacz też: OpenSSL z certyfikatem