Los desarrolladores que trabajan con OpenSSL finalmente pueden comenzar a trabajar con TLS 1.3, gracias a la versión alfa de OpenSSL 1.1.1 que llegó el día 13 de febrero.

Llevar TLS 1.3 a manos de los usuarios y trabajar con la infraestructura ha sido un proceso lento y prolongado: la primera versión de Internet-Draft data de abril de 2014, alcanzó la versión 23 en enero de este año, y aún queda trabajo por hacer.

Como el desarrollador de Hackers.mu Logan Velvindron nos explicó en octubre pasado, los llamados “middleboxes” aún pueden romperse cuando se enfrentan con una sesión de TLS 1.3. Las pruebas realizadas por el grupo de trabajo de IETF en diciembre de 2017 mostraron una tasa de error de alrededor del 3,25 por ciento de las conexiones de cliente de TLS 1.3.

Los desarrolladores de OpenSSL dicen que la versión 1.1.1 es binaria y API compatible con la versión actual, 1.1.0, por lo que debe actuar como un reemplazo para permitir a los desarrolladores usar TLS 1.3.

¿Hay algo tan simple? Por supuesto que no, este es un alfa después de todo. El anuncio de OpenSSL dice que, por ahora, la versión 1.1.1 “no debe utilizarse con fines críticos de seguridad”.

El gran cambio de TLS 1.2 a TLS 1.3 es que la nueva versión depreciará por completo los antiguos algoritmos criptográficos, en lugar de permitir que se configuren en un sistema operativo.

Cloudflare escribió en su blog en septiembre de 2016 (cuando la esperanza optimista era que la especificación estaría finalizada para diciembre de 2016), que hay una extensa lista de posibles agujeros que la nueva versión de TLS enterrará para siempre.

Como explicaba esa publicación, el transporte de clave RSA (que carece de secreto hacia adelante), cifrado de modo CBC, el inseguro cifrado de flujo RC4 y el antiguo SHA-1, un deslizamiento de Diffie-Hellman y el FREAK/Logjam los errores están en desuso, en lugar de quedarse esperando un error de configuración del desarrollador.

Hay más de TLS 1.3 en la versión de OpenSSL. Otras características destacadas por el equipo de desarrollo incluyen la implementación de SHA3 y RSA multi-prime; soporte para el conjunto SipHash de funciones pseudoaleatorias; y un “gran rediseño” del generador de números aleatorios OpenSSL.

Fuente

(Visitada 1 veces, 1 visitas hoy )