Nakon tri godine razvoja i 19 probnih verzija nedavno je najavljeno izdanje nove verzije OpenSSL 3.0.0 koji ima više od 7500 izmjena doprinijelo 350 programera, a to također predstavlja značajnu promjenu u broju verzije, a to je posljedica prelaska na tradicionalno numerisanje.
Od sada će se prva znamenka (Major) u broju verzije promijeniti samo kada je kompatibilnost narušena na API / ABI razini, a druga (Minor) kada se poveća funkcionalnost bez promjene API / ABI. Ispravke će se isporučiti s promjenom treće znamenke (zakrpa). Broj 3.0.0 izabran je odmah nakon 1.1.1 kako bi se izbjegli sudari sa FIPS modulom u razvoju za OpenSSL, koji je označen brojem 2.x.
Druga velika promjena projekta bila je prelazak sa dvostruke licence (OpenSSL i SSLeay) na licencu Apache 2.0. Izvorna OpenSSL licenca koja se ranije koristila bila je zasnovana na naslijeđenoj Apache 1.0 licenci i zahtijevala je izričito spominjanje OpenSSL -a u promotivnim materijalima pri korištenju OpenSSL biblioteka, te posebnu napomenu ako je OpenSSL isporučen s proizvodom.
Ovi zahtjevi učinili su prethodnu licencu nekompatibilnom s GPL-om, što je otežalo korištenje OpenSSL-a u projektima s licencom GPL. Da bi se zaobišla ova nespojivost, GPL projekti su bili primorani primijeniti posebne licencne ugovore, u kojima je glavni tekst GPL -a dopunjen klauzulom koja izričito dozvoljava aplikaciji povezivanje s bibliotekom OpenSSL i spominje da se GPL ne odnosi na vezivanje za OpenSSL.
Šta je novo u OpenSSL 3.0.0
Za dio novina koje su predstavljene u OpenSSL 3.0.0 to možemo otkriti predložen je novi FIPS modul, Que uključuje implementaciju kriptografskih algoritama koji zadovoljavaju sigurnosni standard FIPS 140-2 (proces certifikacije modula planira se započeti ovog mjeseca, a certifikacija FIPS 140-2 se očekuje sljedeće godine). Novi modul je mnogo lakši za upotrebu, a povezivanje s mnogim aplikacijama neće biti teže od promjene konfiguracijske datoteke. Prema zadanim postavkama, FIPS je onemogućen i potrebno je omogućiti opciju enable-fips.
U libcrypto -u je implementiran koncept povezanih pružatelja usluga koji je zamijenio koncept motora (ENGINE API je zastario). Uz pomoć dobavljača možete dodati vlastite implementacije algoritama za operacije kao što su šifriranje, dešifriranje, generiranje ključeva, MAC izračun, stvaranje i provjera digitalnih potpisa.
Takođe je istaknuto da dodatna podrška za CMPque Može se koristiti za traženje certifikata od CA servera, obnavljanje certifikata i opoziv certifikata. Rad sa CMP-om obavlja novi uslužni program openssl-cmp, koji također implementira podršku za CRMF format i prijenos zahtjeva putem HTTP / HTTPS-a.
Pored toga Predloženo je novo programsko sučelje za generiranje ključeva: EVP_KDF (Key Derivation Function API), koji pojednostavljuje uključivanje novih KDF i PRF implementacija. Stari EVP_PKEY API, preko kojeg su bili dostupni algoritmi za kriptiranje, TLS1 PRF i HKDF, redizajniran je kao posrednički sloj implementiran povrh EVP_KDF i EVP_MAC API -ja.
I u implementaciji protokola TLS nudi mogućnost korištenja TLS klijenta i poslužitelja ugrađenog u Linux kernel kako bi se ubrzale operacije. Da biste omogućili implementaciju TLS-a koju pruža Linux kernel, mora biti omogućena opcija "SSL_OP_ENABLE_KTLS" ili postavka "enable-ktls".
S druge strane se to spominje značajan dio API -ja premješten je u zastarjelu kategoriju- Korištenje zastarjelih poziva u projektnom kodu generirat će upozorenje tijekom kompilacije. The API niske razine povezane s određenim algoritmima službeno su proglašeni zastarjelim.
Službena podrška u OpenSSL 3.0.0 sada je dostupna samo za EVP API-e na visokom nivou, izvučene iz određenih vrsta algoritama (ovaj API uključuje, na primjer, funkcije EVP_EncryptInit_ex, EVP_EncryptUpdate i EVP_EncryptFinal). Zastarjeli API -ji bit će uklonjeni u jednom od sljedećih velikih izdanja. Implementacije naslijeđenih algoritama, kao što su MD2 i DES, dostupne putem EVP API -ja, premještene su u zasebni "naslijeđeni" modul, koji je prema zadanim postavkama onemogućen.
Konačno ako ste zainteresirani da saznate više o tome, možete provjeriti detalje Na sledećem linku.