След три години разработка и 19 пробни версии наскоро бе обявено изданието на новата версия на OpenSSL 3.0.0 който има повече от 7500 промени допринесено от 350 разработчици и това също представлява значителна промяна в номера на версията и това се дължи на прехода към традиционното номериране.
Отсега нататък първата цифра (Major) в номера на версията ще се промени само когато съвместимостта е нарушена на ниво API / ABI, а втората (Minor), когато функционалността се увеличи без промяна на API / ABI. Коригиращите актуализации се доставят с промяна на трета цифра (кръпка). Числото 3.0.0 е избрано веднага след 1.1.1, за да се избегнат сблъсъци с модула FIPS, който се разработва за OpenSSL, който е номериран с 2.x.
Втората голяма промяна в проекта беше преход от двоен лиценз (OpenSSL и SSLeay) към лиценз Apache 2.0. Първоначалният лиценз на OpenSSL, използван по -рано, се основаваше на наследствения лиценз на Apache 1.0 и изискваше изрично споменаване на OpenSSL в рекламни материали при използване на библиотеките на OpenSSL и специална бележка, ако OpenSSL е доставен с продукта.
Тези изисквания направиха предишния лиценз несъвместим с GPL, което затрудни използването на OpenSSL в проекти, лицензирани от GPL. За да се избегне тази несъвместимост, проектите на GPL бяха принудени да наложат специфични лицензионни споразумения, в които основният текст на GPL беше допълнен с клауза, която изрично позволява на приложението да се свързва с библиотеката на OpenSSL и споменава, че GPL не се прилага за обвързване с OpenSSL .
Какво е новото в OpenSSL 3.0.0
За частта от новостите, които са представени в OpenSSL 3.0.0 можем да открием това беше предложен нов модул FIPS, че включва прилагането на криптографски алгоритми които отговарят на стандарта за сигурност FIPS 140-2 (процесът на сертифициране на модула се планира да започне този месец, а сертификатът FIPS 140-2 се очаква през следващата година). Новият модул е много по -лесен за използване и свързването с много приложения няма да бъде по -трудно от промяната на конфигурационния файл. По подразбиране FIPS е деактивиран и изисква опцията enable-fips да бъде активирана.
В libcrypto беше внедрена концепцията за доставчици на свързани услуги което замени концепцията за двигатели (API на ENGINE беше отхвърлен). С помощта на доставчици можете да добавите свои собствени реализации на алгоритъм за операции като криптиране, декриптиране, генериране на ключове, изчисляване на MAC, създаване и проверка на цифрови подписи.
Подчертава се също, че добавена поддръжка за CMPЧе Може да се използва за заявяване на сертификати от CA сървъра, подновяване на сертификати и отмяна на сертификати. Работата с CMP се осъществява от новата помощна програма openssl-cmp, която също така поддържа поддръжка за формата CRMF и предаването на заявки по HTTP / HTTPS.
Също Предложен е нов програмен интерфейс за генериране на ключове: EVP_KDF (Key Derivation Function API), което опростява включването на нови реализации на KDF и PRF. Старият API на EVP_PKEY, чрез който бяха достъпни алгоритмите за криптиране, TLS1 PRF и HKDF, беше преработен като междинен слой, реализиран върху API на EVP_KDF и EVP_MAC.
И в изпълнението на протокола TLS предлага възможност за използване на TLS клиент и сървър, вградени в ядрото на Linux за ускоряване на операциите. За да активирате TLS внедряването, предоставено от ядрото на Linux, трябва да бъде активирана опцията „SSL_OP_ENABLE_KTLS“ или настройката „enable-ktls“.
От друга страна се споменава, че значителна част от API е преместена в отхвърлена категория- Използването на отхвърлени повиквания в кода на вашите проекти ще генерира предупреждение по време на компилацията. The API на ниско ниво свързани с определени алгоритми са официално обявени за остарели.
Официалната поддръжка в OpenSSL 3.0.0 вече се предоставя само за EVP API на високо ниво, извлечени от определени типове алгоритми (този API включва например функциите EVP_EncryptInit_ex, EVP_EncryptUpdate и EVP_EncryptFinal). Остарелите API ще бъдат премахнати в едно от следващите големи издания. Наследените алгоритми, като MD2 и DES, достъпни чрез EVP API, са преместени в отделен "наследствен" модул, който е деактивиран по подразбиране.
Накрая ако се интересувате да научите повече за това, можете да проверите подробностите В следващия линк.