Google migre Chrome vers BoringSSL, dérivé d’OpenSSL

En avril dernier, une faille d’ampleur, Heartbleed, touchait la bibliothèque open source de chiffrement des connexions, OpenSSL, rendant vulnérables plusieurs centaines de milliers de serveurs et plus de 50% des sites web sécurisés à travers le monde. Pour renforcer la sécurité de son navigateur web, Chrome, Google s’est donc engagé en juin à utiliser son propre dérivé d’OpenSSL : BoringSSL. Et la bascule vient d’être officialisée.

BoringSSL dans les prochaines versions de Chrome

La migration a été confirmée le 22 juillet dans une note de révision (« Bascule vers BoringSSL ») du système de gestion des versions de Chromium, projet open source sur lequel s’appuie Chrome. « Il s’agit d’un changement beaucoup plus étendu qu’il n’y paraît. Si cela casse quelque chose, merci de le signaler d’abord et de poser des questions plus tard », a simplement indiqué l’un des développeurs de Google, David Benjamin, à l’attention des initiés.

L’outil BoringSSL sera implémenté dans les prochaines versions de Chrome. La bibliothèque est censée apporter plus de stabilité et de cohérence dans la façon dont Chrome fournit des connexions sécurisées à travers différentes plateformes, Android inclus.

L’objectif affiché de Google n’est donc pas « d’enterrer » OpenSSL, mais de disposer d’un outil plus compatible avec ses produits et interfaces, et de faciliter la gestion de correctifs. Avec BoringSSL, ce ne sont plus les modifications réalisées par Google qui sont appliquées à OpenSSL, mais les modifications appliquées à OpenSSL qui sont remontées vers le projet BoringSSL. L’initiative ne sera pas sans conséquence sur l’avenir d’OpenSSL et du nouveau fork LibreSSL, dont s’inspire également BoringSSL.

crédit photo © nito – shutterstock

Lire aussi

Après Heartbleed, Google livre BoringSSL son fork OpenSSL

Avec LibreSSL, l’équipe d’OpenBSD reprend la main sur OpenSSL