După trei ani de dezvoltare și 19 versiuni de încercare lansarea noii versiuni a OpenSSL 3.0.0 a fost recent anunțată care are mai mult de 7500 de modificări contribuit de 350 de dezvoltatori și care reprezintă, de asemenea, o schimbare semnificativă a numărului versiunii și care se datorează tranziției la numerotarea tradițională.
De acum înainte, prima cifră (Major) din numărul versiunii se va schimba numai atunci când compatibilitatea este încălcată la nivelul API / ABI, iar a doua (Minor) când funcționalitatea este mărită fără a modifica API / ABI. Actualizările corective vor fi livrate cu o modificare a treia cifră (patch). Numărul 3.0.0 a fost ales imediat după 1.1.1 pentru a evita coliziunile cu modulul FIPS în curs de dezvoltare pentru OpenSSL, care era numerotat 2.x.
A doua schimbare majoră a proiectului a fost trecerea de la o licență duală (OpenSSL și SSLeay) la o licență Apache 2.0. Licența nativă OpenSSL utilizată anterior s-a bazat pe vechea licență Apache 1.0 și a necesitat menționarea explicită a OpenSSL în materialele promoționale atunci când se utilizează bibliotecile OpenSSL și o notă specială dacă OpenSSL a fost livrat împreună cu produsul.
Aceste cerințe au făcut ca licența anterioară să fie incompatibilă cu GPL, ceea ce face dificilă utilizarea OpenSSL în proiectele cu licență GPL. Pentru a ocoli această incompatibilitate, proiectele GPL au fost forțate să aplice acorduri de licență specifice, în care textul principal al GPL a fost completat cu o clauză care permitea în mod explicit aplicației să se conecteze la biblioteca OpenSSL și menționând că GPL nu se aplică legării cu OpenSSL.
Noutăți în OpenSSL 3.0.0
Pentru partea de noutăți care sunt prezentate în OpenSSL 3.0.0 putem constata că a fost propus un nou modul FIPS, că include implementarea algoritmilor criptografici care îndeplinesc standardul de securitate FIPS 140-2 (procesul de certificare a modulului este planificat să înceapă luna aceasta, iar certificarea FIPS 140-2 este așteptată anul viitor). Noul modul este mult mai ușor de utilizat și conectarea la multe aplicații nu va fi mai dificilă decât schimbarea fișierului de configurare. În mod implicit, FIPS este dezactivat și necesită activarea opțiunii enable-fips.
În libcrypto a fost implementat conceptul de furnizori de servicii conectați care a înlocuit conceptul de motoare (motorul API a fost depreciat). Cu ajutorul furnizorilor, puteți adăuga propriile implementări de algoritmi pentru operațiuni precum criptarea, decriptarea, generarea cheilor, calculul MAC, crearea și verificarea semnăturilor digitale.
De asemenea, se evidențiază faptul că a adăugat suport pentru CMPCă Poate fi utilizat pentru a solicita certificate de la serverul CA, pentru a reînnoi certificate și pentru a revoca certificate. Lucrul cu CMP este realizat de noul utilitar openssl-cmp, care implementează, de asemenea, suport pentru formatul CRMF și transmiterea cererilor prin HTTP / HTTPS.
De asemenea A fost propusă o nouă interfață de programare pentru generarea de chei: EVP_KDF (Key Derivation Function API), care simplifică încorporarea noilor implementări KDF și PRF. Vechiul API EVP_PKEY, prin care erau disponibili algoritmii de scrypt, TLS1 PRF și HKDF, a fost reproiectat ca un strat intermediar implementat deasupra API-urilor EVP_KDF și EVP_MAC.
Și în implementarea protocolului TLS oferă posibilitatea de a utiliza clientul și serverul TLS încorporat în kernel-ul Linux pentru a accelera operațiunile. Pentru a activa implementarea TLS furnizată de kernel-ul Linux, trebuie activată opțiunea „SSL_OP_ENABLE_KTLS” sau setarea „enable-ktls”.
Pe de altă parte, se menționează că o parte semnificativă a API-ului a fost mutată în categoria depreciată- Utilizarea apelurilor depreciate în codul proiectului va genera un avertisment în timpul compilării. The API de nivel scăzut legat de anumiți algoritmi au fost declarate oficial învechite.
Suportul oficial în OpenSSL 3.0.0 este oferit acum doar pentru API-urile EVP de nivel înalt, extrase din anumite tipuri de algoritmi (acest API include, de exemplu, funcțiile EVP_EncryptInit_ex, EVP_EncryptUpdate și EVP_EncryptFinal). API-urile învechite vor fi eliminate în una dintre următoarele versiuni majore. Implementările algoritmului vechi, cum ar fi MD2 și DES, disponibile prin intermediul API-ului EVP, au fost mutate într-un modul separat „vechi”, care este dezactivat în mod implicit.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta, puteți verifica detaliile În următorul link.