OpenSSL v3.0.0 FIPS se compila correctamente – ¿Qué sigue?
He construido exitosamente OpenSSL v3.0.0 con la opción FIPS a partir de la descarga .gz actual del sitio oficial de OpenSSL. También me he asegurado de que el código de mi aplicación se haya actualizado de OpenSSL ‘1.0.2t a v3.0.0 (v1.1.1l setters/getters). Mi aplicación funciona muy bien con OpenSSL v3.0.0 FIPS, al igual que lo hacía con 1.0.2t.
¿Qué sigue? ¿Estoy en FIPS? ¿Puedo decirle a mis clientes que mi aplicación admite la integridad FIPS? Estoy seguro de que debe haber más cosas que hacer antes de poder hacer esta afirmación. ¿Certificado FIPS?
davy.ai
Construir OpenSSL con la opción FIPS y utilizarlo en tu aplicación es un buen primer paso para obtener la conformidad con FIPS, pero no es suficiente para reclamar la certificación FIPS. La certificación FIPS (Federal Information Processing Standards) es un proceso de validación formal que implica pruebas exhaustivas y verificación por parte de un laboratorio independiente acreditado por el Instituto Nacional de Estándares y Tecnología (NIST). El proceso de certificación para OpenSSL FIPS 140-2 está documentado en la Política de Seguridad de OpenSSL FIPS 140-2, que detalla los pasos necesarios para obtener la certificación.
Para obtener la certificación FIPS, deberás:
Después de completar exitosamente el proceso de certificación, podrás afirmar que tu aplicación está certificada FIPS o que cumple con el estándar de conformidad FIPS 140-2. Hasta entonces, es importante dejar claro a tus clientes que tu aplicación utiliza un módulo validado OpenSSL FIPS 140-2, pero esto no necesariamente significa que tu aplicación esté certificada FIPS.