Una de las prácticas de seguridad imprescindibles al enviar datos a través de Internet es establecer comunicaciones seguras, certificadas y cifradas para evitar que usuarios no autorizados puedan intervenirlas, recopilarlas e incluso modificarlas. Aunque OpenSSL es el conjunto de librerías seguras más utilizado en toda la red para aplicar una capa de seguridad SSL a las conexiones, poco a poco otras alternativas se van abriendo paso como opciones más seguras y con mejor mantenimiento para evitar los problemas del pasado, siendo una de ellas LibreSSL.
LibreSSL es un fork del conjunto de librerías OpenSSL dirigido por el proyecto OpenBSD que se creó tras la aparición de vulnerabilidades como Heartbleed debido al nefasto mantenimiento y a la falta de auditorías de seguridad de OpenSSL. LibreSSL pretendía ser una alternativa muy similar al otro conjunto de librerías, pero mejorando la seguridad en todos los ámbitos gracias a numerosas auditorías de seguridad y a un mantenimiento activo a la altura de una herramienta tan crítica en la seguridad como esa.
Manteniendo su promesa, y buscando crecer más en el mercado, los responsables de OpenBSD han liberado hace dos días la nueva versión de LibreSSL, la 2.5, la cual llega con interesantes mejoras y novedades tanto en seguridad como en compatibilidad con otros sistemas operativos, como iOS.
Novedades de LibreSSL 2.5
De entre todas las mejoras de seguridad que se han incluido en esta nueva versión de la suite de cifrado podemos destacar la compatibilidad con los certificados de uso intermedio OCSP, soporte para el uso de las funciones ALPN y SNI, se ha solucionado un error en la llamada de la función tls_config_set_ciphers() y ahora la librería es capaz de cargar los certificados durante la llamada de la configuración, mejorando el rendimiento y reduciendo, además, el número de líneas de código.
Además, ahora esta herramienta cuenta con 4 nuevos grupos de cifrado:
- «secure» (TLSv1.2+AEAD+PFS)
- «compat» (HIGH:!aNULL)
- «legacy» (HIGH:MEDIUM:!aNULL)
- «insecure» (ALL:!aNULL:!eNULL)
Otra de las novedades que han llegado con el nuevo LibreSSL 2.5 es la compatibilidad con iOS que, aunque está en una fase muy temprana y puede llegar incluso a ser inestable, va a permitir a los desarrolladores hacer uso de estas librerías en sus proyectos en un futuro no muy lejano.
También se ha aprovechado la actualización para eliminar el soporte con protocolos de cifrado inseguros y obsoletos (como CMS) y configurados por defecto los protocolos más seguros. Podemos consultar la lista completa de cambios del nuevo LibreSSL desde el siguiente enlace.
Como podemos ver, OpenBSD apuesta fuerte por su conjunto de librerías SSL libres, las cuales poco a poco se van ganando la confianza de los desarrolladores y administradores de sistemas por el miedo a un nuevo Heartbleed debido al insuficiente mantenimiento que tiene OpenSSL.
¿Crees que LibreSSL puede ser una excelente alternativa a OpenSSL?