En los últimos meses una de las vulnerabilidades que más ha dado que hablar ha sido Heartbleed, un fallo de seguridad en OpenSSL que ha expuesto millones de datos privados a todo tipo de servidores en todo el mundo. Aunque la vulnerabilidad ya ha sido solucionada, los administradores ya no se fían de ella y algunos buscan alternativas sustitutas más seguras y con un mayor mantenimiento para evitar un nuevo Heartbleed.
Como ya anunciamos hace algunas semanas, Google está trabajando en un nuevo software llamado BoringSSL que es un simple derivado del actual OpenSSL pero revisado y mantenido por la compañía, por lo que la seguridad que aporta es sensiblemente mayor. Tras varias pruebas, la compañía ha decidido que su aplicación está ya finalizada, es totalmente funcional y es hora de empezar a implementarla.
El primero que recibirá el nuevo BoringSSL será la versión beta del navegador Google Chrome. En la última beta publicada, el navegador de Google ya no utiliza OpenSSL como estándar por defecto sino que viene con el nuevo BoringSSL ya totalmente implementado en el sistema y totalmente listo para brindar una mayor seguridad a los usuarios de Google Chrome y de otros productos de la compañía que implementen el software.
Por otro lado, Google ha afirmado que no dejará de utilizar en muchos de sus productos el software OpenSSL ni dejará de donar dinero al proyecto abierto ni ayudar en la solución de bugs como está haciendo hasta ahora, simplemente la compañía busca ofrecer a sus usuarios una capa de seguridad adicional y un mayor mantenimiento del software que evite que una nueva vulnerabilidad pueda convertirse de nuevo en un Heartbleed comprometiendo los datos y la seguridad de los servidores como lo hizo la anterior.
Por el momento no se sabe cuándo llegará el nuevo protocolo por defecto en el canal estable de Google Chrome, por lo que habrá que esperar. El cambio será automático y la mayoría de usuarios no notarán la diferencia entre utilizar OpenSSL y el nuevo BoringSSL.
¿Qué opinas de la implementación de BoringSSL frente a OpenSSL en Google Chrome?
Fuente: Neowin