OpenSSL es un conjunto de herramientas y librerías criptográficas de código abierto utilizada principalmente para implementar el uso de Secure Sockets Layer (SSL) y Transport Layer Security (TLS) (entre otros protocolos de seguridad) en las conexiones a Internet, así como para crear certificados digitales para implementarlos en los servidores de páginas web, como Apache.
En 2014, millones de servidores se vieron expuestos a Heartbleed, un fallo de seguridad en las librerías OpenSSL y, probablemente, el peor fallo al que se ha enfrentado Internet. Desde entonces, los responsables de este conjunto de herramientas criptográficas han reforzado la seguridad de OpenSSL auditando mejor el código y publicando actualizaciones más frecuentemente con el fin de solucionar, antes de que sean públicos, todos los posibles fallos que puedan existir en la suite de herramientas criptográficas y que puedan comprometer, de nuevo, la seguridad de los servidores.
Los responsables de OpenSSL han anunciado que la semana que viene, concretamente el próximo día 1 de marzo, van a liberar dos nuevas actualizaciones de sus librerías: la 1.0.2g y la 1.0.1s. Estas dos nuevas versiones solucionan varios fallos de seguridad, algunos de ellos catalogados como de importancia muy alta, por lo que es de vital importancia actualizar tan pronto como estén disponibles para evitar caer en manos de piratas informáticos.
Hace un mes, los responsables de OpenSSL liberaron un nuevo parche (1.0.2f) que solucionaba igualmente una vulnerabilidad importante (CVE-2016-0701) que podía permitir a un atacante conseguir información sobre las conexiones de las víctimas con la cual podría llegar a descifrar el tráfico. Por motivos de seguridad, los responsables de esta herramienta no han facilitado información sobre las vulnerabilidades que se van a solucionar, a fin de proteger a los usuarios hasta la fecha de liberación de la actualización. Sin embargo, algunos investigadores apuntan a que uno de los fallos más importantes está relacionado con la generación de ficheros de parámetros X9.42, comprometiendo la seguridad de los intercambios de claves Diffie-Hellman (DH).
Alternativas a OpenSSL
Tras los problemas de seguridad de OpenSSL, otros desarrolladores empezaron a crear nuevas alternativas con el fin de brindarlas un mayor mantenimiento que evitara este tipo de problemas en el futuro. Algunas de estas alternativas son LibreSSL, un proyecto derivado que respeta la mayor parte de las características del proyecto original, y BoringSSL, un proyecto creado y mantenido directamente por Google.
Los responsables de seguridad de OpenSSL recuerdan que el soporte para la versión 1.0.1 finaliza el próximo 31 de diciembre de 2016. A partir de dicha fecha la herramienta no se actualizará más y solo se dará soporte a la versión actual, 1.0.2 y a las futuras actualizaciones. Las versiones 0.9.8 y 1.0.0 llevan sin soporte desde el 31 de diciembre de 2015.
¿Utilizas una versión actualizada de OpenSSL o, debido a los últimos problemas de seguridad, utilizas alguna de las alternativas anteriores?
Quizá te interese:
- Dos fallos de seguridad en OpenSSL exponen la seguridad de las conexiones
- Solucionan varias vulnerabilidades importantes en OpenSSL