Setelah tiga tahun pengembangan dan 19 versi percobaan rilis versi baru OpenSSL 3.0.0 baru-baru ini diumumkan yang memiliki lebih dari 7500 perubahan disumbangkan oleh 350 pengembang dan itu juga merupakan perubahan signifikan dalam nomor versi dan itu karena transisi ke penomoran tradisional.
Mulai sekarang, digit pertama (Mayor) dalam nomor versi hanya akan berubah ketika kompatibilitas dilanggar pada level API / ABI, dan digit kedua (Minor) ketika fungsionalitas ditingkatkan tanpa mengubah API / ABI. Pembaruan korektif akan dikirimkan dengan perubahan digit (tambalan) ketiga. Nomor 3.0.0 dipilih segera setelah 1.1.1 untuk menghindari tabrakan dengan modul FIPS yang sedang dikembangkan untuk OpenSSL, yang diberi nomor 2.x.
Perubahan besar kedua untuk proyek ini adalah transisi dari lisensi ganda (OpenSSL dan SSLeay) ke lisensi Apache 2.0. Lisensi OpenSSL asli yang digunakan sebelumnya didasarkan pada lisensi Apache 1.0 lawas dan memerlukan penyebutan OpenSSL secara eksplisit dalam materi promosi saat menggunakan pustaka OpenSSL, dan catatan khusus jika OpenSSL dikirimkan bersama produk.
Persyaratan ini membuat lisensi sebelumnya tidak kompatibel dengan GPL, sehingga sulit untuk menggunakan OpenSSL dalam proyek berlisensi GPL. Untuk menghindari ketidakcocokan ini, proyek GPL dipaksa untuk menegakkan perjanjian lisensi tertentu, di mana teks utama GPL dilengkapi dengan klausa yang secara eksplisit mengizinkan aplikasi untuk menautkan ke perpustakaan OpenSSL dan menyebutkan bahwa GPL tidak berlaku untuk mengikat ke OpenSSL .
Apa yang baru di OpenSSL 3.0.0
Untuk bagian dari hal baru yang disajikan di OpenSSL 3.0.0 kita dapat menemukan bahwa modul FIPS baru telah diusulkan, bahwa termasuk implementasi algoritma kriptografi yang memenuhi standar keamanan FIPS 140-2 (proses sertifikasi modul direncanakan akan dimulai bulan ini, dan sertifikasi FIPS 140-2 diharapkan tahun depan). Modul baru jauh lebih mudah digunakan dan menghubungkan ke banyak aplikasi tidak akan lebih sulit daripada mengubah file konfigurasi. Secara default, FIPS dinonaktifkan dan memerlukan opsi aktifkan-fips untuk diaktifkan.
Di libcrypto konsep penyedia layanan yang terhubung diimplementasikan yang menggantikan konsep engine (API ENGINE tidak digunakan lagi). Dengan bantuan vendor, Anda dapat menambahkan implementasi algoritme Anda sendiri untuk operasi seperti enkripsi, dekripsi, pembuatan kunci, kalkulasi MAC, pembuatan dan verifikasi tanda tangan digital.
Hal ini juga disorot bahwa menambahkan dukungan untuk CMPBahwa Ini dapat digunakan untuk meminta sertifikat dari server CA, memperbarui sertifikat, dan mencabut sertifikat. Bekerja dengan CMP dilakukan oleh utilitas baru openssl-cmp, yang juga mengimplementasikan dukungan untuk format CRMF dan transmisi permintaan melalui HTTP / HTTPS.
Juga Antarmuka pemrograman baru untuk pembuatan kunci telah diusulkan: EVP_KDF (API Fungsi Derivasi Kunci), yang menyederhanakan penggabungan implementasi KDF dan PRF baru. API EVP_PKEY lama, yang menyediakan algoritme scrypt, TLS1 PRF, dan HKDF, telah didesain ulang sebagai lapisan perantara yang diimplementasikan di atas API EVP_KDF dan EVP_MAC.
Dan dalam implementasi protokol TLS menawarkan kemampuan untuk menggunakan klien dan server TLS yang dibangun ke dalam kernel Linux untuk mempercepat operasi. Untuk mengaktifkan implementasi TLS yang disediakan oleh kernel Linux, opsi "SSL_OP_ENABLE_KTLS" atau setelan "enable-ktls" harus diaktifkan.
Di sisi lain disebutkan bahwa sebagian besar API telah dipindahkan ke kategori yang tidak digunakan lagi- Menggunakan panggilan usang dalam kode proyek akan menghasilkan peringatan selama kompilasi. NS API tingkat rendah terkait dengan algoritma tertentu telah resmi dinyatakan usang.
Dukungan resmi di OpenSSL 3.0.0 sekarang disediakan hanya untuk API EVP tingkat tinggi, yang diambil dari jenis algoritme tertentu (API ini mencakup, misalnya, fungsi EVP_EncryptInit_ex, EVP_EncryptUpdate, dan EVP_EncryptFinal). API usang akan dihapus di salah satu rilis utama berikutnya. Implementasi algoritme lama, seperti MD2 dan DES, tersedia melalui EVP API, telah dipindahkan ke modul "warisan" terpisah, yang dinonaktifkan secara default.
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentang itu, Anda dapat memeriksa detailnya Di tautan berikut.