He estado leyendo bastante sobre las vulnerabilidades de OpenSSL y las fortalezas de los distintos protocolos SSL. Según tengo entendido, cualquier protocolo anterior a TLS 1.0 debe evitarse a toda costa (algunos dirán que TLS 1.0 también debería evitarse, ya que solo es una "actualización" de SSL 3.0). También entiendo que esto se debe a debilidades en el protocolo y que esto afectaría cualquier implementación.
Para poder utilizar TLS 1.1 y los protocolos más nuevos, debe actualizar OpenSSL al menos a la suite 1.0.1. Parece que, últimamente, la comunidad de seguridad ha hecho un trabajo increíble para encontrar agujeros en la implementación más reciente de OpenSSL. Parece que cada 2-3 meses se descubre y se corrige una nueva vulnerabilidad.
La forma en que veo hay 3 opciones:
- o bien te quedas con un protocolo débil pero una implementación de software bastante estable
- o usted actualiza a una implementación de software menos estable (OpenSSL) y se arriesga a que los protocolos no se implementen correctamente
- o si observa un software diferente a OpenSSL y se arriesga a más agujeros de implementación
¿Qué piensa la gente de esa evaluación?
Supongo que lo que pregunto es ¿cuál es el menos malo de los dos males?