Kolmen vuoden kehityksen ja 19 kokeiluversion jälkeen OpenSSL 3.0.0: n uuden version julkaisu julkistettiin äskettäin mikä on yli 7500 muutosta 350 kehittäjää, mikä merkitsee myös merkittävää muutosta versionumerossa ja joka johtuu siirtymisestä perinteiseen numerointiin.
Tästä lähtien versionumeron ensimmäinen numero (pää) muuttuu vain, kun yhteensopivuus loukataan API / ABI -tasolla, ja toinen (vähäinen), kun toiminnallisuutta lisätään muuttamatta API / ABI. Korjaavat päivitykset toimitetaan kolmannen numeron (korjaustiedoston) muutoksen mukana. Numero 3.0.0 valittiin heti 1.1.1: n jälkeen, jotta vältytään törmäyksiltä OpenSSL: n kehitteillä olevan FIPS -moduulin kanssa, joka oli numeroitu 2.x.
Toinen merkittävä muutos hankkeeseen oli siirtyminen kaksoislisenssistä (OpenSSL ja SSLeay) Apache 2.0 -lisenssiin. Aiemmin käytetty natiivi OpenSSL -lisenssi perustui vanhaan Apache 1.0 -lisenssiin ja vaati OpenSSL: n nimenomaisen maininnan mainosmateriaaleissa käytettäessä OpenSSL -kirjastoja ja erityistä huomautusta, jos tuotteen mukana toimitettiin OpenSSL.
Nämä vaatimukset tekivät edellisen lisenssin yhteensopimattomaksi GPL: n kanssa, mikä vaikeutti OpenSSL: n käyttöä GPL -lisensoiduissa projekteissa. Tämän yhteensopimattomuuden kiertämiseksi GPL -hankkeet pakotettiin panemaan täytäntöön erityisiä lisenssisopimuksia, joissa GPL: n päätekstiä täydennettiin lausekkeella, joka nimenomaisesti sallii sovelluksen linkittää OpenSSL -kirjastoon ja mainitsi, että GPL ei koske OpenSSL -sitomista .
OpenSSL 3.0.0: n uudet ominaisuudet
Osasta uutuuksista, jotka esitetään OpenSSL 3.0.0: ssa, voimme löytää sen uutta FIPS -moduulia on ehdotettu, että sisältää salausalgoritmien toteuttamisen jotka täyttävät FIPS 140-2 -suojausstandardin (moduulin sertifiointiprosessin on tarkoitus alkaa tässä kuussa ja FIPS 140-2 -sertifioinnin odotetaan tapahtuvan ensi vuonna). Uutta moduulia on paljon helpompi käyttää, ja yhteyden muodostaminen moniin sovelluksiin ei ole vaikeampaa kuin kokoonpanotiedoston muuttaminen. Oletuksena FIPS on poistettu käytöstä ja edellyttää, että enable-fips-vaihtoehto on otettu käyttöön.
Libcryptossa otettiin käyttöön yhdistettyjen palveluntarjoajien käsite joka korvasi moottorien käsitteen (ENGINE API poistettiin käytöstä). Toimittajien avulla voit lisätä omia algoritmitoteutuksiasi esimerkiksi salaukseen, salauksen purkuun, avainten luomiseen, MAC -laskentaan, digitaalisten allekirjoitusten luomiseen ja tarkistamiseen.
On myös korostettu, että lisätty tuki CMP: lleEttä Sen avulla voidaan pyytää varmenteita CA -palvelimelta, uusia varmenteita ja peruuttaa varmenteita. CMP: n kanssa työskentelee uusi apuohjelma openssl-cmp, joka tukee myös CRMF-muotoa ja pyyntöjen siirtoa HTTP / HTTPS-yhteyden kautta.
Myös Uutta ohjelmointirajapintaa avainten luomiseen on ehdotettu: EVP_KDF (Key Derivation Function API), joka yksinkertaistaa uusien KDF- ja PRF -toteutusten käyttöönottoa. Vanha EVP_PKEY -sovellusliittymä, jonka kautta scrypt-, TLS1 PRF- ja HKDF -algoritmit olivat käytettävissä, on suunniteltu uudelleen välikerrokseksi, joka on toteutettu EVP_KDF- ja EVP_MAC -sovellusliittymien päälle.
Ja pöytäkirjan täytäntöönpanossa TLS tarjoaa mahdollisuuden käyttää Linux -ytimeen rakennettua TLS -asiakasta ja palvelinta toiminnan nopeuttamiseksi. Jos haluat ottaa käyttöön Linux-ytimen tarjoaman TLS-toteutuksen, "SSL_OP_ENABLE_KTLS" -vaihtoehto tai "enable-ktls" -asetus on otettava käyttöön.
Toisaalta mainitaan se merkittävä osa sovellusliittymästä on siirretty vanhentuneeseen luokkaan- Vanhentuneiden puheluiden käyttäminen projektikoodissa luo varoituksen kääntämisen aikana. The Matalan tason sovellusliittymä linkitetty tiettyihin algoritmeihin on virallisesti julistettu vanhentuneeksi.
Virallista tukea OpenSSL 3.0.0: ssa tarjotaan nyt vain korkean tason EVP-sovellusliittymille, jotka on saatu tietyntyyppisistä algoritmeista (tämä sovellusliittymä sisältää esimerkiksi EVP_EncryptInit_ex-, EVP_EncryptUpdate- ja EVP_EncryptFinal-toiminnot). Vanhentuneet sovellusliittymät poistetaan yhdessä seuraavista tärkeimmistä julkaisuista. EVP -sovellusliittymän kautta saatavilla olevat vanhat algoritmitoteutukset, kuten MD2 ja DES, on siirretty erilliseen "vanhaan" moduuliin, joka on oletusarvoisesti poissa käytöstä.
Vihdoin jos olet kiinnostunut tietämään siitä enemmän, voit tarkistaa yksityiskohdat Seuraavassa linkissä.