Discussion :

[Hinault Romaric]

Chrome : Google remplace OpenSSL par BoringSSL
son fork de la bibliothèque de chiffrement open source

BoringSSL, l’outil de chiffrement open source de Google a été adopté par les développeurs du projet Chromium, ce qui signifie que la solution devra remplacer OpenSSL dans une prochaine mise à jour du navigateur Chrome.

Il y a pratiquement un mois, Google avait présenté le projet BoringSSL, avec pour objectif de réduire les efforts de maintenance d’OpenSSL, qui avait fait les choux gras de la presse IT il y a quelques mois pour la faille Heartbleed.

BoringSSL est donc un fork d’OpenSSL, qui n’a cependant pas pour ambition de remplacer OpenSSL. La vision des développeurs de Google est de disposer d’un socle sur lequel ils importeront les modifications qui ont été apportées à OpenSSL, plutôt que d’appliquer leurs changements au-dessus de l’outil. Il faut noter que Google dispose actuellement de plus de 70 correctifs développés en interne pour OpenSSL. Les maintenir pour l’ensemble de ses produits utilisant la solution (Android, Chrome, etc.), demande beaucoup trop d’efforts. De plus, avec BoringSSL, Google pourra également profiter des évolutions de LibreSSL, le fork d’OpenSSL maintenu par la fondation OpenBSD.

BoringSSL a déjà été intégré dans une build de Chrome. Les développeurs intéressés peuvent déjà tester cette version qui est disponible sur le « dev channel » du projet Chromium.

Il faut souligner que selon les notes de révision du navigateur, la migration vers BoringSSL n’a pas été aussi facile que prévu. Le 16 juillet, les développeurs du projet Chromium ont ajouté BoringSSL à l’arbre de Chrome, avant de le supprimer par la suite à cause de problèmes de compatibilité avec le composant WebView pour Android.

Une deuxième tentative a eu lieu le 17 juillet, mais les développeurs auraient constaté un problème de compatibilité avec WebRTC sur Android. Puis, le 18 juillet, BoringSSL a été intégré à Chrome et a été par la suite supprimé à cause d’un problème de Build, avant une dernière tentative le 22 juillet.

L’intégration de BoringSSL dans Chrome amorce une migration qui verra la solution remplacer OpenSSL dans tous les produits de Google dans lesquels la solution de sécurité open source est utilisée.

Télécharger Chrome sur le Dev channel


Source : site du projet Chromium


Et vous ?

Qu'en pensez-vous ?

[Thorna]

Il faut souligner que selon les notes de révision du navigateur, la migration vers BoringSSL n’a pas été aussi facile que prévu.

Ah, ils se sont rendu compte que développer sa propre backdoor, c'est pas si facile que ça?

Plus sérieusement, quelle est l'utilité d'une "n+1ème" version dont on n'a aucune garantie de sérieux ni de sécurité ni de fonctionnement, qui sera développée et maintenue par un cercle plus restreint que le précédent, et qui va embrouiller encore plus tout le monde ?

[Juda-Priest]

@Thorna :o ! Cela donne une certaine flexibilité à Google.

Google avait tellement de correctifs/patch sur leur banche, (Pas tous approuvé ou mergé sur la branche principale) que cela devenait laborieux de la maintenir. Dans ce cas, il vaut mieux faire un fork et continuer de contribuer à OpenSSL. L'avantage que c'est tout tes correctifs sont directement sur ton fork, et plus sous forme de Patch non mergé, que tu vas perdre/re-écrire/re-debugger à chaque MAJ.

Enfin c'est comme ça que je vois les choses.

[Lynix]

Moi je me demande quand même pourquoi ils n'ont pas fait ça plus tôt, forker un projet pour ajouter ses propres modifications c'est monnaie courante dans le monde du développement (Quand c'est vraiment nécessaire).