Efter tre års udvikling og 19 prøveversioner udgivelsen af den nye version af OpenSSL 3.0.0 blev for nylig annonceret hvilken har mere end 7500 ændringer bidraget med 350 udviklere, og det repræsenterer også en væsentlig ændring i versionsnummeret, og det skyldes overgangen til traditionel nummerering.
Fra nu af ændres det første ciffer (major) i versionsnummeret kun, når kompatibiliteten krænkes på API / ABI -niveau, og det andet (mindre), når funktionaliteten øges uden at ændre API / ABI. Korrigerende opdateringer sendes med et tredje ciffer (patch) ændring. Tallet 3.0.0 blev valgt umiddelbart efter 1.1.1 for at undgå kollisioner med FIPS -modulet under udvikling for OpenSSL, som var nummereret 2.x.
Den anden store ændring for projektet var overgang fra en dobbelt licens (OpenSSL og SSLeay) til en Apache 2.0 -licens. Den oprindelige OpenSSL -licens, der tidligere blev brugt, var baseret på den ældre Apache 1.0 -licens og krævede eksplicit omtale af OpenSSL i reklamemateriale ved brug af OpenSSL -bibliotekerne og en særlig note, hvis OpenSSL blev leveret med produktet.
Disse krav gjorde den tidligere licens uforenelig med GPL, hvilket gjorde det svært at bruge OpenSSL i GPL -licenserede projekter. For at omgå denne inkompatibilitet blev GPL -projekter tvunget til at håndhæve specifikke licensaftaler, hvor hovedteksten i GPL blev suppleret med en klausul, der udtrykkeligt tillod applikationen at linke til OpenSSL -biblioteket og nævne, at GPL ikke gælder for binding med OpenSSL .
Hvad er nyt i OpenSSL 3.0.0
For den del af nyhederne, der præsenteres i OpenSSL 3.0.0, kan vi finde det et nyt FIPS -modul er blevet foreslået, at omfatter implementering af kryptografiske algoritmer der opfylder FIPS 140-2-sikkerhedsstandarden (modulcertificeringsprocessen er planlagt til at begynde denne måned, og FIPS 140-2-certificering forventes næste år). Det nye modul er meget lettere at bruge, og forbindelse til mange applikationer vil ikke være vanskeligere end at ændre konfigurationsfilen. Som standard er FIPS deaktiveret og kræver, at indstillingen enable-fips er aktiveret.
I libcrypto blev konceptet om tilsluttede tjenesteudbydere implementeret som erstattede konceptet med motorer (ENGINE API blev forældet). Ved hjælp af leverandører kan du tilføje dine egne algoritmeimplementeringer til operationer som kryptering, dekryptering, nøglegenerering, MAC -beregning, oprettelse og verifikation af digitale signaturer.
Det fremhæves også, at tilføjet support til CMPDet Det kan bruges til at anmode om certifikater fra CA -serveren, forny certifikater og tilbagekalde certifikater. Arbejde med CMP udføres af det nye værktøj openssl-cmp, som også implementerer understøttelse af CRMF-formatet og transmission af anmodninger over HTTP / HTTPS.
Også En ny programmeringsgrænseflade til nøglegenerering er blevet foreslået: EVP_KDF (Key Derivation Function API), som forenkler indførelsen af nye KDF- og PRF -implementeringer. Den gamle EVP_PKEY API, gennem hvilken krypterings-, TLS1 PRF- og HKDF -algoritmerne var tilgængelige, er blevet redesignet som et mellemlag implementeret oven på EVP_KDF og EVP_MAC API'erne.
Og i implementeringen af protokollen TLS tilbyder muligheden for at bruge TLS -klienten og serveren indbygget i Linux -kernen at fremskynde operationerne. For at aktivere TLS-implementeringen fra Linux-kernen skal indstillingen "SSL_OP_ENABLE_KTLS" eller indstillingen "enable-ktls" aktiveres.
På den anden side nævnes det en væsentlig del af API'et er flyttet til kategorien forældet- Brug af forældede opkald i din projektkode genererer en advarsel under kompilering. Det Lavt niveau API knyttet til visse algoritmer officielt erklæret forældede.
Officiel support i OpenSSL 3.0.0 leveres nu kun til EVP API'er på højt niveau, hentet fra visse typer algoritmer (denne API omfatter f.eks. EVP_EncryptInit_ex, EVP_EncryptUpdate og EVP_EncryptFinal-funktioner). Forældede API'er fjernes i en af de næste store udgivelser. Ældre algoritmeimplementeringer, f.eks. MD2 og DES, tilgængelige via EVP API, er blevet flyttet til et separat "ældre" modul, som er deaktiveret som standard.
Endelig hvis du er interesseret i at vide mere om det, du kan kontrollere detaljerne I det følgende link.