Disponible el nuevo LibreSSL 2.3 con mejoras en la seguridad de las conexiones

Disponible el nuevo LibreSSL 2.3 con mejoras en la seguridad de las conexiones

Rubén Velasco

Hace algún tiempo se descubrieron varias vulnerabilidades críticas en OpenSSL, librerías libres más utilizadas de la red para establecer conexiones seguras. Tras estas vulnerabilidades muchas empresas y desarrolladores empezaron a plantearse sobre si la seguridad y el mantenimiento de estas librerías era suficiente o se debían buscar nuevas alternativas para proteger las conexiones de los usuarios en los tiempos modernos. Google fue una de las empresas que desarrolló un proyecto derivado de OpenSSL (BoringSSL) mantenido por él, aunque no ha sido el único.

Los desarrolladores del proyecto OpenBSD también decidieron hacer un fork del proyecto OpenSSL original y poder crear y mantener así sus propias librerías libres SSL. Este nuevo proyecto se llamó LibreSSL, y en poco tiempo ha recibido un gran mantenimiento y un gran recibimiento por parte de la comunidad.

Hace algunas horas los responsables del proyecto liberaban la nueva versión 2.3 de LibreSSL con interesantes novedades, entre las que cabe destacar la eliminación completa del protocolo SSLv3. También se ha eliminado el soporte para el algoritmo SHA-0 (obsoleto y vulnerable desde 2004) y se han solucionado numerosos fallos de seguridad que habían sido detectados y reportados en las últimas semanas de desarrollo.

Otros cambios que se han implementado en esta nueva versión de la librería son:

  • Actualización de la API libtls a la versión 2.2 que mejora la lectura y la escritura con eventos externos de otras librerías. También se ha mejorado la verificación del lado del cliente, que ahora es compatible con el cliente que generó el certificado en el servidor.
  • Se ha mejorado la seguridad de las claves DSA sin parámetros DH solucionando unos fallos de aleatoriedad predecible.
  • Se ha solucionado un fallo de seguridad en el ECDH_compute_key que podía forzar a las librerías a utilizar claves cortas e inseguras.
  • Se ha eliminado el soporte DTLS_BAD_VER y Pre-DTLSv1.
  • Se han eliminado varias dependencias inseguras derivadas de OpenSSL gracias a la creación de nuevos complementos y funciones.

Los desarrolladores ya trabajan en la versión estable de la ABI/API de este nuevo LibreSSL 2.3, la cual, según informan, estará disponible alrededor de marzo de 2016. Por el momento todos los usuarios que utilizan estas librerías para establecer sus conexiones seguras deberán actualizarlas desde su gestor de actualizaciones (o instalarlas a mano) para poder mejorar su seguridad y evitar que piratas informáticos puedan explotar las debilidades de las conexiones SSL para comprometer nuestras conexiones.

Podemos obtener más información sobre esta nueva versión de las librerías y sobre el desarrollo de la ABI/API desde el siguiente enlace. El proyecto LibreSSL continuará mejorando como librería libre para conexiones seguras SSL con el fin de convertirse en una opción fiable, segura y de gran mantenimiento para todo tipo de conexiones modernas utilizando siempre prácticas de programación seguras.

¿Eres usuario de LibreSSL o utilizas otras librerías como OpenSSL o BoringSSL?

Quizá te interese:

  • LibreSSL no es tan seguro como OpenSSL en Linux
  • LibreSSL, la alternativa a OpenSSL de OpenBSD
¡Sé el primero en comentar!