Amazon ouvre sa propre implémentation de TLS
AWS vient de proposer en Open Source une nouvelle librairie TLS particulièrement légère et qu’il s’apprête à utiliser pour plusieurs de ses services.
Amazon propose en Open Source une nouvelle librairie TLS qu’il s’apprête à utiliser pour plusieurs de ses services. Baptisée s2n, cette librairie se veut conçue pour être « légère, rapide et simple ». Dans un billet de blog, Stephen Schmidt, RSSI d’Amazon Web Services, compare avec OpenSSL : « l’implémentation de référence de fait contient plus de 500 000 lignes de code, dont au moins 70 000 pour le traitement de TLS. Naturellement, chacune de ces lignes de code apporte un risque d’erreur. Mais cette taille importante présente également des défis pour l’audit du code, l’analyse de sécurité, les performances et l’efficacité ».
Alors pour s2n, Amazon a voulu se concentrer sur l’essentiel : « s2n n’implémente pas des options et extensions rarement utilisées ». Et de revendiquer « déjà trois évaluations de sécurité et tests d’intrusion externes ».
La librairie d’Amazon est immédiatement disponible sur GitHub, sous licence Apache 2.0. Elle sera déployée progressivement, « au cours des prochains mois », sur plusieurs services AWS.
Cette initiative survient après une année particulièrement trouble pour OpenSSL, marquée par la vulnérabilité Heartbleed, notamment. La complexité de la librairie a d’ailleurs régulièrement été mise en cause, au point que certains s’interrogeaient sur la possibilité de la réparer.
Mais les responsables du projet OpenSSL n’ont pas jeté l’éponge et ont présenté, il y a un an, un calendrier d’amélioration de la sécurité de la librairie. Ils ont également affirmé leur volonté de se montrer plus réactifs.
De son côté, Amazon assure ne pas vouloir remplacer OpenSSL avec s2n, « que nous continuons de supporter à travers notre implication au sein de la Core Infrastructure Initiative de la fondation Linux ».