Po treh letih razvoja in 19 poskusnih različicah nedavno je bila napovedana izdaja nove različice OpenSSL 3.0.0 ki ima več kot 7500 sprememb prispevalo 350 razvijalcev, kar pomeni tudi znatno spremembo številke različice, kar je posledica prehoda na tradicionalno oštevilčevanje.
Od zdaj naprej se bo prva številka (Major) v številki različice spremenila le, če je združljivost kršena na ravni API / ABI, druga (manjša), ko se poveča funkcionalnost brez spreminjanja API / ABI. Popravki bodo poslani s spremembo tretje številke (popravka). Številka 3.0.0 je bila izbrana takoj po 1.1.1, da bi se izognili trkom z modulom FIPS, ki se razvija za OpenSSL, ki je bil oštevilčen z 2.x.
Druga velika sprememba projekta je bila prehod z dvojne licence (OpenSSL in SSLeay) licenco Apache 2.0. Domača licenca OpenSSL, ki je bila uporabljena prej, je temeljila na podedovani licenci Apache 1.0 in je zahtevala izrecno omembo OpenSSL v promocijskih materialih pri uporabi knjižnic OpenSSL ter posebno opombo, če je bil OpenSSL dobavljen z izdelkom.
Zaradi teh zahtev je bila prejšnja licenca nezdružljiva z GPL, kar otežuje uporabo OpenSSL v projektih z licenco GPL. Da bi se izognili tej nezdružljivosti, so bili projekti GPL prisiljeni uporabljati posebne licenčne pogodbe, v katerih je bilo glavno besedilo GPL dopolnjeno s klavzulo, ki je aplikaciji izrecno dovoljevala povezavo do knjižnice OpenSSL in omenila, da GPL ne velja za zavezujočo z OpenSSL.
Kaj je novega v OpenSSL 3.0.0
Za del novosti, ki so predstavljene v OpenSSL 3.0.0, lahko to ugotovimo predlagan je nov modul FIPS, da vključuje izvajanje kriptografskih algoritmov ki ustrezajo varnostnemu standardu FIPS 140-2 (postopek certificiranja modulov naj bi se začel v tem mesecu, certifikat FIPS 140-2 pa predvidoma prihodnje leto). Novi modul je veliko lažji za uporabo in povezovanje z mnogimi aplikacijami ne bo nič težje kot spreminjanje konfiguracijske datoteke. Privzeto je FIPS onemogočen in mora biti omogočena možnost enable-fips.
V libcrypto je bil implementiran koncept povezanih ponudnikov storitev ki je nadomestil koncept motorjev (ENGINE API je bil zastarel). S pomočjo prodajalcev lahko dodate lastne implementacije algoritmov za operacije, kot so šifriranje, dešifriranje, ustvarjanje ključev, izračun MAC, ustvarjanje in preverjanje digitalnih podpisov.
Poudarjeno je tudi, da dodana podpora za CMPTo Z njim lahko zahtevate potrdila od strežnika CA, obnovite potrdila in prekličete potrdila. Delo s CMP opravlja novi pripomoček openssl-cmp, ki izvaja tudi podporo za obliko CRMF in prenos zahtev po HTTP / HTTPS.
Tudi Predlagan je bil nov programski vmesnik za generiranje ključev: EVP_KDF (Key Derivation Function API), ki poenostavlja vključitev novih izvedb KDF in PRF. Stari API EVP_PKEY, prek katerega so bili na voljo algoritmi za šifriranje, TLS1 PRF in HKDF, je bil preoblikovan kot vmesni sloj, implementiran na vrhu vmesnikov EVP_KDF in EVP_MAC.
In pri izvajanju protokola TLS ponuja možnost uporabe odjemalca in strežnika TLS, vgrajenega v jedro Linuxa za pospešitev operacij. Če želite omogočiti izvajanje TLS, ki ga ponuja jedro Linuxa, morate omogočiti možnost »SSL_OP_ENABLE_KTLS« ali nastavitev »enable-ktls«.
Po drugi strani je omenjeno, da velik del API -ja je bil premaknjen v zastarelo kategorijo- Uporaba zastarelih klicev v projektni kodi bo med sestavljanjem ustvarila opozorilo. The API na nizki ravni povezane z določenimi algoritmi so bili uradno razglašeni za zastarele.
Uradna podpora v OpenSSL 3.0.0 je zdaj na voljo samo za API-je na visoki ravni EVP, ki izhajajo iz določenih vrst algoritmov (ta API vključuje na primer funkcije EVP_EncryptInit_ex, EVP_EncryptUpdate in EVP_EncryptFinal). Zastareli API -ji bodo odstranjeni v eni od naslednjih večjih izdaj. Izvedbe podedovanega algoritma, kot sta MD2 in DES, ki so na voljo prek API -ja EVP, so bile premaknjene v ločen "starejši" modul, ki je privzeto onemogočen.
Končno če vas zanima več o tem, lahko preverite podrobnosti V naslednji povezavi.