Google crea su propio OpenSSL para Chrome para evitar otro Heartbleed ¿Se está pasando?
Noticias relacionadas
El bug Hearbleed supuso un jarro de agua fría que despertó a mucha gente que creía que la Web era relativamente segura. Desde entonces se han presentado muchas iniciativas para evitar que un bug similar al que sufrió OpenSSL vuelva a ocurrir, y Google es la que mas ruido ha hecho al respecto. No solo se ha unido con sus enemigos, sino que también ha creado una unidad de élite para encontrar este tipo de problemas. Ahora da un paso mas, que probablemente afectará a los usuarios de Chrome. Y es que al mismo tiempo que Google trabaja para mejorar la seguridad de OpenSSL, también está trabajando en una alternativa, llamada BoringSSL, con el objetivo de recibir esas mejoras cuanto antes.
Un nuevo SSL “aburrido”
Gracias a OpenSSL podemos realizar conexiones cifradas y seguras a través de la red usando SSL, así que es especialmente importante que los navegadores web aprovechen cualquier mejora que haya al respecto; esa es la justificación que ofrece Google al anunciar que la última versión de Chromium (el navegador libre en el que se basa Chrome) ahora incluye BoringSSL. Trabajadores de la compañía aseguran que esto no significa que Google vaya a “abandonar OpenSSL”, y que las mejoras que ha implementado han sido mandadas también a OpenSSL. Si todo sigue como debería, los usuarios de Chrome recibirán BoringSSL en las próximas versiones.
El problema es que solucionar un bug en un programa tan importante no es tan fácil como copiar y pegar el código recibido; hay que tomar ciertos pasos, comprobar si el nuevo código genera mas problemas de los necesarios, que cada persona responsable de el visto bueno… son pasos que Google ya ha dado por su cuenta y por eso está confiada en implementar ya el código. En vez de esperar a que desde OpenSSL se decidan a incluirlo o no, han decidido que es mas rápido crear su propia versión. Es un paso lógico… pero también muy peligroso.
No creo que haga falta recordar lo que pasaría si todas las compañías hiciesen lo mismo: no habría un único estándar de comunicaciones seguras en la red, sino que se abriría la puerta a que solo pudiésemos conectarnos de manera segura con ciertas páginas, por ejemplo. Por ahora los parches no son tan grandes como para que BoringSSL y OpenSSL no sean compatibles, pero quién sabe si podremos decir lo mismo después de cinco años de desarrollo, por ejemplo. Es un camino peligroso el que ha tomado Google, por muy comprensible que sea.
Fuente | ImperialViolet