A principios de la semana pasada Amazon anunciaba la disponibilidad de su nueva librería TLS/SSL llamada S2N con la que pretende mejorar la seguridad, la estabilidad y el rendimiento de las conexiones con sus servidores que obtiene con las librerías actuales de OpenSSL.
Una de las librerías más utilizadas para establecer conexiones
seguras es OpenSSL. Aunque es de código abierto y cuenta con un buen
mantenimiento, en los últimos meses han aparecido una serie de fallos de
seguridad en esta librería que han causado que las principales empresas de
Internet desarrollen sus propias librerías más seguras y mantenidas por ellas
para establecer conexiones seguras entre cliente y servidor.
Amazon afirma que su nueva librería no pretende acabar con
OpenSSL sino que simplemente quiere ser una alternativa cuya principal prioridad
sea la de ser una librería pequeña, rápida y simple. OpenSSL cuenta con 500.000
líneas de código, de las cuales más de 70.000 están relacionadas con la
librería TLS. S2N cuenta únicamente con 6.000 líneas, lo que hace que sea mucho
más fácil de implementar, auditar y configurar.
Características de S2N
- Las
principales características de S2N son:
- Soporta
los protocolos SSL v3, TLS 1.0, TLS 1.1, y TLS 1.2.
- Compatible
con cifrado de 128-bit y 256-bit AES, 3DES y RC4.
- Soporta
DHE y ECDHE.
- Compatible
con las extensiones Server Name Indicator (SNI), Application-Layer
Protocol Negotiation (ALPN) y Online Certificate Status Protocol (OCSP)
del protocolo TLS.
- Por
motivos de seguridad SSLv3, RC4, y DHE están deshabilitados por defecto,
pero se pueden habilitar para aumentar la compatibilidad.
- Ha
superado con éxito varias auditorías de seguridad y pentesting de empresas
externas a Amazon.
S2N ha sido desarrollado pensando principalmente en los
servicios y funciones que Amazon ofrece a través de su plataforma Amazon Web
Services y por defecto sólo tendrá lo necesario para satisfacer las necesidades
de la compañía. En los próximos meses irá implementándose la nueva librería
gradualmente en todos los servicios sustituyendo a las librerías actuales de
OpenSSL.
Si algún desarrollador quiere implementar S2N en sus servicios
o aumentar sus funciones deberá descargar el código y adaptarlo para hacerlo
compatible con su plataforma. Esto no ocurre con OpenSSL ya que esta librería
cuenta por defecto con todo lo necesario para funcionar de forma sencilla con
cualquier software.
Fuente: Redeszone.net