Pärast kolmeaastast arendustööd ja 19 prooviversiooni hiljuti teatati OpenSSL 3.0.0 uue versiooni väljaandmisest mis on rohkem kui 7500 muudatust panustasid 350 arendajat ja see tähendab ka olulist muutust versiooninumbris ning see on tingitud üleminekust traditsioonilisele numeratsioonile.
Nüüdsest muutub versiooninumbri esimene number (peamine) ainult siis, kui API / ABI tasemel rikutakse ühilduvust, ja teine (väike), kui funktsionaalsust suurendatakse ilma API / ABI muutmata. Parandavad värskendused saadetakse koos kolmekohalise (plaastri) muudatusega. Number 3.0.0 valiti kohe pärast 1.1.1, et vältida kokkupõrkeid OpenSSL -i jaoks väljatöötamisel oleva FIPS -mooduliga, mis oli nummerdatud 2.x.
Projekti teine suurem muudatus oli üleminek topeltlitsentsilt (OpenSSL ja SSLeay) Apache 2.0 litsentsile. Varem kasutatud OpenSSL -i litsents põhines pärandlitsentsil Apache 1.0 ja nõudis OpenSSL -i selgesõnalist mainimist reklaammaterjalides, kui kasutati OpenSSL -i teeke, ja erilist märkust, kui tootega tarniti OpenSSL.
Need nõuded muutsid eelmise litsentsi GPL -iga kokkusobimatuks, muutes OpenSSL -i kasutamise GPL -litsentsiga projektides keeruliseks. Sellest kokkusobimatusest kõrvalehoidmiseks olid GPL -projektid sunnitud jõustama konkreetseid litsentsilepinguid, milles GPL -i põhiteksti täiendati klausliga, mis lubas selgesõnaliselt rakendusel linkida OpenSSL -i teekiga ja mainis, et GPL -i ei kohaldata OpenSSL -iga sidumise suhtes. .
Mis on uut OpenSSL 3.0.0 -s?
Osalt uuendustest, mis on esitatud OpenSSL 3.0.0 -s, leiame selle on välja pakutud uus FIPS moodul, et hõlmab krüptograafiliste algoritmide rakendamist mis vastavad FIPS 140-2 turvastandardile (mooduli sertifitseerimisprotsess on kavas alustada sel kuul ja FIPS 140-2 sertifitseerimine on oodata järgmisel aastal). Uut moodulit on palju lihtsam kasutada ja paljude rakendustega ühendamine pole keerulisem kui konfiguratsioonifaili muutmine. Vaikimisi on FIPS keelatud ja nõuab valiku enable-fips lubamist.
Libcrypto rakendas ühendatud teenusepakkujate kontseptsiooni mis asendas mootorite kontseptsiooni (ENGINE API oli aegunud). Müüjate abiga saate lisada oma algoritmirakendusi selliste toimingute jaoks nagu krüptimine, dekrüpteerimine, võtmete genereerimine, MAC -i arvutamine, digitaalallkirjade loomine ja kontrollimine.
Samuti rõhutatakse, et lisatud CMP tugiEt Seda saab kasutada CA serverilt sertifikaatide küsimiseks, sertifikaatide uuendamiseks ja sertifikaatide tühistamiseks. CMP-ga tegeleb uus utiliit openssl-cmp, mis rakendab ka CRMF-vormingu tuge ja päringute edastamist HTTP / HTTPS-i kaudu.
Ka Võtmete genereerimiseks on välja pakutud uus programmeerimisliides: EVP_KDF (Key Derivation Function API), mis lihtsustab uute KDF- ja PRF -i rakenduste lisamist. Vana EVP_PKEY API, mille kaudu olid saadaval skripti, TLS1 PRF ja HKDF algoritmid, on ümber kujundatud vahekihina, mis on rakendatud EVP_KDF ja EVP_MAC API -de peale.
Ja protokolli rakendamisel TLS pakub võimalust kasutada Linuxi tuuma sisseehitatud TLS -i klienti ja serverit operatsioonide kiirendamiseks. Linuxi kerneli pakutava TLS-i rakendamise lubamiseks peab olema lubatud suvand "SSL_OP_ENABLE_KTLS" või säte "enable-ktls".
Teisalt mainitakse seda oluline osa API -st on viidud aegunud kategooriasse- Aegunud kõnede kasutamine projekti koodis loob kompileerimise ajal hoiatuse. The Madala taseme API seotud teatud algoritmidega on ametlikult aegunuks tunnistatud.
Ametlik tugi OpenSSL 3.0.0-s on nüüd saadaval ainult kõrgetasemelistele EVP API-dele, mis on saadud teatud tüüpi algoritmidest (see API sisaldab näiteks funktsioone EVP_EncryptInit_ex, EVP_EncryptUpdate ja EVP_EncryptFinal). Vananenud API -d eemaldatakse ühel järgmistest suurtest väljaannetest. Pärandalgoritmi rakendused, nagu MD2 ja DES, mis on saadaval EVP API kaudu, on viidud eraldi "pärandmoodulisse", mis on vaikimisi keelatud.
Lõpuks kui olete huvitatud sellest rohkem teada saama, saate üksikasju kontrollida Järgmisel lingil.