OpenSSL 3.5: La Nueva Versión LTS que Abraza la Criptografía Post-Cuántica y QUIC

El proyecto OpenSSL ha lanzado oficialmente OpenSSL 3.5, una actualización long-term support (LTS) que marca un hito en la preparación para la era cuántica y la modernización de protocolos de seguridad.

Esta versión, disponible desde el 8 de abril de 2025, introduce algoritmos post-cuánticos, soporte avanzado para QUIC y mejoras críticas en rendimiento y seguridad, consolidando su papel como columna vertebral de la criptografía en Internet.

Novedades Destacadas

Criptografía Post-Cuántica (PQC)

OpenSSL 3.5 integra tres algoritmos estandarizados por el NIST para resistir ataques de computación cuántica:

• ML-KEM (Módulo Lattice Key Encapsulation Mechanism): Para intercambio seguro de claves.

• ML-DSA (Módulo Lattice Digital Signature Algorithm): Firmas digitales robustas.

• SLH-DSA (Stateless Hash-Based Digital Signature Algorithm): Alternativa para autenticación en entornos restringidos.

Además, los grupos predeterminados en TLS ahora priorizan mecanismos híbridos que combinan curvas elípticas tradicionales (como X25519) con KEMs post-cuánticos (X25519MLKEM768), preparando el terreno para una transición gradual.

Soporte para QUIC y Optimizaciones de Rendimiento

La implementación de QUIC (RFC 9000), el protocolo de transporte basado en UDP de Google, permite conexiones más rápidas y seguras, especialmente útil para servicios como videollamadas o streaming. OpenSSL 3.5 añade:

• Soporte para servidores QUIC y stacks de terceros.

• Capacidad 0-RTT (Zero Round Trip Time), reduciendo la latencia en reconexiones.

Seguridad Reforzada y Depuraciones

• Nuevos Valores Predeterminados: El cifrado en aplicaciones como req o cms cambia de des-ede3-cbc a aes-256-cbc, eliminando algoritmos obsoletos.

• Opciones de Configuración:

  • no-tls-deprecated-ec: Desactiva grupos de curvas elípticas obsoletas en TLS 4.

  • enable-fips-jitter: Mejora la entropía en el módulo FIPS usando la fuente JITTER, aunque requiere validación adicional.

Modernización de APIs y Mejoras Técnicas

• EVP_SKEY: Introduce claves simétricas opacas, mejorando la abstracción y seguridad en el manejo de claves.

• Deprecación de Funciones: Las APIs BIO_meth_get_*() se marcan como obsoletas, incentivando el uso de interfaces modernas.

• Generación Centralizada de Claves en CMP: Simplifica la gestión de certificados en entornos empresariales.

Compatibilidad y Soporte a Largo Plazo

Como versión LTS, OpenSSL 3.5 recibirá actualizaciones hasta el 8 de abril de 2030, superando en duración a su predecesora, OpenSSL 3.0, cuyo soporte termina en 2026. Esta política de LTS bianual (2027, 2029, etc.) ofrece predictibilidad para proyectos críticos.

Impacto en la Comunidad y Retos

La adopción de OpenSSL 3.5 implica ajustes significativos:

• Migración desde Versiones Antiguas: Se recomienda abandonar OpenSSL 3.0, que aún recibirá parches hasta 2026, pero carece de soporte para QUIC y PQC.

• Problemas Conocidos: Un error en SSL_accept() requiere usar SSL_do_handshake() como solución temporal, con una corrección planeada para la versión 3.5.1.

• FIPS y Validaciones: El proveedor FIPS debe revalidarse si se habilita enable-fips-jitter, debido a dependencias externas como la biblioteca jitterentropy.

Descarga y Próximos Pasos

OpenSSL 3.5 está disponible para descarga en GitHub y el sitio oficial, con paquetes para múltiples plataformas. La próxima versión, OpenSSL 3.6, se espera para octubre de 2025, continuando la línea de actualizaciones regulares.

Conclusión: Un Paso hacia Internet del Futuro

Con OpenSSL 3.5, la comunidad no solo aborda amenazas emergentes como la computación cuántica, sino que también sienta las bases para protocolos más eficientes y seguros. Su enfoque en la modernización y el soporte prolongado refuerza su papel esencial en la infraestructura global de TI. ¿Están las organizaciones preparadas para esta transición? La respuesta definirá la resiliencia de la red en la próxima década.