Chrome : Google remplace OpenSSL par BoringSSL
Son fork de la bibliothèque de chiffrement open source

Le , par Hinault Romaric, Responsable .NET
BoringSSL, l’outil de chiffrement open source de Google a été adopté par les développeurs du projet Chromium, ce qui signifie que la solution devra remplacer OpenSSL dans une prochaine mise à jour du navigateur Chrome.

Il y a pratiquement un mois, Google avait présenté le projet BoringSSL, avec pour objectif de réduire les efforts de maintenance d’OpenSSL, qui avait fait les choux gras de la presse IT il y a quelques mois pour la faille Heartbleed.

BoringSSL est donc un fork d’OpenSSL, qui n’a cependant pas pour ambition de remplacer OpenSSL. La vision des développeurs de Google est de disposer d’un socle sur lequel ils importeront les modifications qui ont été apportées à OpenSSL, plutôt que d’appliquer leurs changements au-dessus de l’outil. Il faut noter que Google dispose actuellement de plus de 70 correctifs développés en interne pour OpenSSL. Les maintenir pour l’ensemble de ses produits utilisant la solution (Android, Chrome, etc.), demande beaucoup trop d’efforts. De plus, avec BoringSSL, Google pourra également profiter des évolutions de LibreSSL, le fork d’OpenSSL maintenu par la fondation OpenBSD.

BoringSSL a déjà été intégré dans une build de Chrome. Les développeurs intéressés peuvent déjà tester cette version qui est disponible sur le « dev channel » du projet Chromium.

Il faut souligner que selon les notes de révision du navigateur, la migration vers BoringSSL n’a pas été aussi facile que prévu. Le 16 juillet, les développeurs du projet Chromium ont ajouté BoringSSL à l’arbre de Chrome, avant de le supprimer par la suite à cause de problèmes de compatibilité avec le composant WebView pour Android.

Une deuxième tentative a eu lieu le 17 juillet, mais les développeurs auraient constaté un problème de compatibilité avec WebRTC sur Android. Puis, le 18 juillet, BoringSSL a été intégré à Chrome et a été par la suite supprimé à cause d’un problème de Build, avant une dernière tentative le 22 juillet.

L’intégration de BoringSSL dans Chrome amorce une migration qui verra la solution remplacer OpenSSL dans tous les produits de Google dans lesquels la solution de sécurité open source est utilisée.

Télécharger Chrome sur le Dev channel

Source : site du projet Chromium

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Thorna Thorna - Membre éclairé https://www.developpez.com
le 27/07/2014 à 8:57
Citation Envoyé par Hinault Romaric  Voir le message
Il faut souligner que selon les notes de révision du navigateur, la migration vers BoringSSL n’a pas été aussi facile que prévu.

Ah, ils se sont rendu compte que développer sa propre backdoor, c'est pas si facile que ça?

Plus sérieusement, quelle est l'utilité d'une "n+1ème" version dont on n'a aucune garantie de sérieux ni de sécurité ni de fonctionnement, qui sera développée et maintenue par un cercle plus restreint que le précédent, et qui va embrouiller encore plus tout le monde ?
Avatar de Juda-Priest Juda-Priest - Membre actif https://www.developpez.com
le 28/07/2014 à 7:38
@Thorna :o ! Cela donne une certaine flexibilité à Google.

Google avait tellement de correctifs/patch sur leur banche, (Pas tous approuvé ou mergé sur la branche principale) que cela devenait laborieux de la maintenir. Dans ce cas, il vaut mieux faire un fork et continuer de contribuer à OpenSSL. L'avantage que c'est tout tes correctifs sont directement sur ton fork, et plus sous forme de Patch non mergé, que tu vas perdre/re-écrire/re-debugger à chaque MAJ.

Enfin c'est comme ça que je vois les choses.
Avatar de Lynix Lynix - Membre habitué https://www.developpez.com
le 28/07/2014 à 10:02
Moi je me demande quand même pourquoi ils n'ont pas fait ça plus tôt, forker un projet pour ajouter ses propres modifications c'est monnaie courante dans le monde du développement (Quand c'est vraiment nécessaire).
Offres d'emploi IT
Responsable de lot / architecte fpga H/F
Safran - Ile de France - Éragny (95610)
Ingénieur développement logiciels temps réel embarqué H/F
Safran - Ile de France - Éragny (95610)
Ingénieur développement logiciel embarqué temps réel (model based) H/F
Safran - Ile de France - VILLAROCHE

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil