Megjelent az OpenSSL 4.0: ECH-támogatással és jelentős örökölt kódritkítással

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

Megjelent az OpenSSL 4.0.0, a széles körben használt kriptográfiai és TLS library új funkciókat hozó frissítéseként. Ez a verzió új protokollképességeket, API-változásokat, valamint a régóta várt örökölt kód eltávolítását hozza.

Az OpenSSL 4.0 egyik legfontosabb újdonsága az Encrypted Client Hello (ECH) támogatása. A kiadás emellett cSHAKE-támogatást, az RFC 8998-ból származó, SM2-höz kapcsolódó új TLS- és aláírási funkciókat, SNMP KDF és SRTP KDF támogatást, „ML-DSA-MU” digest algoritmus támogatást, valamint TLS 1.2 esetén egyeztetett FFDHE kulcscserét is tartalmaz.

A FIPS-felhasználóknál az önellenőrzéseket mostantól el lehet halasztani, és szükség esetén a FIPS module telepítése közben futtathatók az

openssl fipsinstall
-defer_tests

opciójával.

Az OpenSSL 4.0 több, kompatibilitást megtörő változást is bevezet. Kivették az SSLv3 és az SSLv2 Client Hello támogatását, megszüntették az engine támogatást, a

c_rehash

script helyét az

openssl rehash

vette át, és alapértelmezetten már fordításkor letiltják az elavult TLS elliptikus görbéket és az explicit EC görbéket, hacsak konfiguráláskor nem engedélyezik újra.

Emellett az ASN1_STRING mostantól opaque, több X.509-hez kapcsolódó API kiegészült

const

minősítőkkel, a régebbi tanúsítvány-időösszehasonlító függvényeket pedig elavulttá tették a

X509_check_certificate_times()

javára.

A 4.0 ágon további változások érintik az ellenőrzési viselkedést és a belső takarítást. A FIPS providerrel használt

PKCS5_PBKDF2_HMAC

esetén mostantól érvényesítik az alsó korlátokra vonatkozó ellenőrzéseket. A szigorúbb validálási útvonalak új AKID- és CRL-ellenőrzésekkel bővültek. A libcrypto többé nem végez globális takarítást

atexit()

segítségével; ehelyett az

OPENSSL_cleanup()

globális destructoron keresztül fut le, vagy a környezettől függően alapértelmezetten nem fut le.

A fejlesztők és a downstream projektek számára az OpenSSL 4.0 jelentős előrelépés. Fontos új kriptográfiai és TLS funkciókat ad, ugyanakkor olyan interfészeket és működéseket is kivezet, amelyekre egyes örökölt szoftvereknek még szükségük lehet.

További részletekért nézd meg a változásnaplót.

Végül érdemes kitérni a támogatási ciklusra is. Az OpenSSL 4.0 mostantól a legfrissebb, új funkciókat hozó ág, miközben az OpenSSL 3.5 marad az aktuális LTS sorozat. A legújabb funkciókra vágyó felhasználók 4.0-ra frissíthetnek, akiknek pedig az elnyújtott karbantartási támogatás a fontosabb, továbbra is használhatják a 3.5 LTS-t.