Po trejų metų kūrimo ir 19 bandomųjų versijų neseniai buvo paskelbta naujos versijos „OpenSSL 3.0.0“ versija kuri turi daugiau nei 7500 pakeitimų prisidėjo 350 kūrėjų, o tai taip pat reikšmingai pakeitė versijos numerį ir tai įvyko dėl perėjimo prie tradicinės numeracijos.
Nuo šiol pirmasis skaitmuo (pagrindinis) versijos numeryje pasikeis tik tada, kai bus pažeistas suderinamumas API / ABI lygiu, o antrasis (nedidelis), kai funkcionalumas bus padidintas nekeičiant API / ABI. Taisomieji atnaujinimai bus siunčiami su trečiojo skaitmens (pataisos) pakeitimu. Skaičius 3.0.0 buvo pasirinktas iškart po 1.1.1, kad būtų išvengta susidūrimo su „OpenSSL“ kuriamu FIPS moduliu, kuris buvo sunumeruotas 2.x.
Antrasis esminis projekto pakeitimas buvo perėjimas nuo dvigubos licencijos („OpenSSL“ ir „SSLeay“) į „Apache 2.0“ licenciją. Anksčiau naudojama gimtoji „OpenSSL“ licencija buvo pagrįsta senąja „Apache 1.0“ licencija ir reikalaujama aiškiai paminėti „OpenSSL“ reklaminėje medžiagoje naudojant „OpenSSL“ bibliotekas, ir speciali pastaba, jei „OpenSSL“ buvo pristatyta kartu su produktu.
Dėl šių reikalavimų ankstesnė licencija buvo nesuderinama su GPL, todėl buvo sunku naudoti „OpenSSL“ GPL licencijuotuose projektuose. Siekiant išvengti šio nesuderinamumo, GPL projektai buvo priversti vykdyti konkrečias licencijų sutartis, kuriose pagrindinis GPL tekstas buvo papildytas sąlyga, aiškiai leidžiančia programai susieti su „OpenSSL“ biblioteka ir paminint, kad GPL netaikomas susiejimui su „OpenSSL“ .
Kas naujo „OpenSSL 3.0.0“
Dalį naujovių, kurios yra pateiktos „OpenSSL 3.0.0“, galime rasti buvo pasiūlytas naujas FIPS modulis, kad apima kriptografinių algoritmų įgyvendinimą kurie atitinka FIPS 140-2 saugumo standartą (modulio sertifikavimo procesą planuojama pradėti šį mėnesį, o FIPS 140-2 sertifikavimo tikimasi kitais metais). Naująjį modulį naudoti yra daug lengviau, o prisijungti prie daugelio programų bus ne ką sunkiau nei pakeisti konfigūracijos failą. Pagal numatytuosius nustatymus FIPS yra išjungtas, todėl reikia įjungti „enable-fips“ parinktį.
„Libcrypto“ buvo įdiegta prijungtų paslaugų teikėjų koncepcija kuris pakeitė variklių sąvoką (ENGINE API buvo nebenaudojama). Padedant pardavėjams, galite pridėti savo algoritmų įgyvendinimą tokioms operacijoms kaip šifravimas, iššifravimas, raktų generavimas, MAC skaičiavimas, skaitmeninių parašų kūrimas ir tikrinimas.
Taip pat pabrėžiama, kad pridėjo CMP palaikymąKad Jis gali būti naudojamas prašyti sertifikatų iš CA serverio, atnaujinti sertifikatus ir atšaukti sertifikatus. Darbą su CMP atlieka nauja programa openssl-cmp, kuri taip pat įgyvendina CRMF formato palaikymą ir užklausų perdavimą per HTTP / HTTPS.
Taip pat Buvo pasiūlyta nauja programavimo sąsaja raktų generavimui: EVP_KDF (Key Derivation Function API), kuri supaprastina naujų KDF ir PRF diegimų įtraukimą. Senoji EVP_PKEY API, per kurią buvo pasiekiami šifravimo, TLS1 PRF ir HKDF algoritmai, buvo pertvarkyta kaip tarpinis sluoksnis, įdiegtas ant EVP_KDF ir EVP_MAC API.
Ir įgyvendinant protokolą TLS suteikia galimybę naudoti TLS klientą ir serverį, įmontuotą „Linux“ branduolyje operacijoms pagreitinti. Norint įjungti TLS diegimą, kurį teikia „Linux“ branduolys, turi būti įjungta parinktis „SSL_OP_ENABLE_KTLS“ arba „enable-ktls“.
Kita vertus, minima didelė API dalis buvo perkelta į nebenaudojamą kategoriją- Naudojant nebenaudojamus skambučius projekto kode, bus sudarytas įspėjimas kompiliavimo metu. The Žemo lygio API susietas su tam tikrais algoritmais buvo oficialiai paskelbti pasenusiais.
Oficialus „OpenSSL 3.0.0“ palaikymas dabar teikiamas tik aukšto lygio EVP API, sudarytoms iš tam tikrų tipų algoritmų (ši API apima, pavyzdžiui, EVP_EncryptInit_ex, EVP_EncryptUpdate ir EVP_EncryptFinal funkcijas). Pasenusios API bus pašalintos vienu iš kitų pagrindinių leidimų. Senieji algoritmų diegimai, tokie kaip MD2 ir DES, prieinami per EVP API, buvo perkelti į atskirą „seną“ modulį, kuris pagal numatytuosius nustatymus yra išjungtas.
Pagaliau jei norite sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.