Səkkiz aylıq inkişafdan sonra SSL/TLS protokollarını və müxtəlif şifrələmə alqoritmlərini tətbiq edən OpenSSL 3.2.0 buraxıldı. OpenSSL 3.2 üçün dəstək 23 noyabr 2025-ci ilə qədər davam edəcək. Əvvəlki OpenSSL 3.1 və 3.0 LTS filiallarına dəstək müvafiq olaraq 2025-ci ilin martına və 2026-cı ilin sentyabrına qədər davam edəcək. 1.1.1 filialına dəstək bu ilin sentyabrında başa çatıb. Layihə kodu Apache 2.0 lisenziyası altında paylanır.
OpenSSL 3.2.0-ın əsas yenilikləri:
- HTTP/3 protokolunda nəqliyyat kimi istifadə edilən QUIC protokolu (RFC 9000) üçün müştəri dəstəyi əlavə edildi. Tətbiqə, digər şeylərlə yanaşı, tək bir rabitə kanalı üzərindən birdən çox axın ötürmək imkanı da daxildir. QUIC-dən istifadə üçün komponentlər serverlər 30 aprel 2024-cü il tarixindən gec olmayaraq dərc edilməsi planlaşdırılan OpenSSL 3.3 buraxılışına daxil ediləcək.
QUIC çoxlu əlaqənin multipleksləşdirilməsini dəstəkləyən və TLS/SSL-ə ekvivalent şifrələmə üsullarını təmin edən UDP protokol əlavəsidir. Protokol 2013-cü ildə Google tərəfindən internet üçün TCP+TLS-ə alternativ olaraq yaradılıb, TCP-də yavaş bağlantı quraşdırma və danışıqlar vaxtlarını həll edir və məlumat ötürülməsi zamanı paket itkisi nəticəsində yaranan gecikmələri aradan qaldırır.
- TLS indi əl sıxma zamanı sertifikatın sıxılması üçün genişlənməni (RFC 8879) dəstəkləyir, bu da əlaqənin qurulmasını sürətləndirir, çünki sertifikat məlumatlarının ötürülməsi əl sıxma zamanı trafikin ən böyük payını təşkil edir. Sıxılma zlib, zstd və Brotli kitabxanalarından istifadə etməklə dəstəklənir.
- İmza yaradan zaman təsadüfi ardıcıllıq yerinə şəxsi açarın HMAC-SHA256 heşindən və imzalanan mesajın mətnindən istifadə edən deterministik ECDSA rəqəmsal imza seçimi (Deterministic ECDSA, RFC 6979) üçün əlavə dəstək. Bu, müxtəlif imzalama əməliyyatlarında eyni imzanın əldə edilməsinə imkan verir, lakin şəxsi açarı təxmin etmək üçün istifadə edilə bilən məlumat sızmasına imkan vermir (məxfi açar, təkrarlanan təsadüfi ardıcıllıqla müxtəlif məlumatlar üçün ən azı iki imza yaradılarsa, təxmin edilə bilər).
- Ed25519 və Ed448 açıq açar rəqəmsal imzalarının genişləndirilmiş variantları üçün əlavə dəstək: Ed25519ctx, Ed25519ph və Ed448ph (RFC 8032).
- Təsadüfi olmayan kodu təkrar istifadə edərkən sızmalara qarşı müqaviməti ilə GCM rejiminin yüksək performansını (Galois/Counter Mode) birləşdirən AES-GCM-SIV şifrələmə rejimi (RFC 8452) üçün əlavə dəstək.
- 2015 Parol Hash Funksiya Müsabiqəsində qalib gələn Argon2 açar yaratma funksiyası (RFC 9106) həyata keçirildi. Mövzu birləşdirmə dəstəyi əlavə edildi.
- Açıq açar şifrələməsində açarın ötürülməsinin asanlığını simmetrik şifrələmənin yüksək performansı ilə birləşdirən HPKE (Hybrid Public Key Encryption, RFC 9180) mexanizminə əsaslanan hibrid şifrələmə üçün əlavə dəstək (məlumatlar sürətli simmetrik açarla, açarın özü isə yavaş asimmetrik açarla şifrələnir).
- TLS xam açıq açarlardan (RFC 7250) istifadə etmək qabiliyyətini həyata keçirir.
- TCP Fast Open (TFO, RFC 7413) mexanizmi üçün əlavə dəstək. Klassik 3-addımlı əlaqə danışıqları prosesinin birinci və ikinci addımlarını vahid sorğuda birləşdirərək əlaqə quraşdırma addımlarının sayını azaldır və əlaqənin qurulmasının ilkin mərhələsində məlumatların göndərilməsini mümkün edir.
- TLS qoşula bilən rəqəmsal imza sxemlərini dəstəkləyir, məsələn, kvant kompüterlərində kobud güc hücumlarına davamlı alqoritmlərin TLS-də istifadə üçün üçüncü tərəf alqoritm tətbiqlərindən istifadə etməyə imkan verir.
- TLS 1.3 Brainpool təhlükəsiz elliptik əyriləri üçün dəstək əlavə edir.
- SM4-XTS prosessor təlimatları üçün əlavə dəstək.
- Platformada Windows Sistemin kök sertifikat anbarından istifadə etmək imkanı tətbiq edilib (standart olaraq deaktiv edilib). Mağazadakı sertifikatlara daxil olmaq üçün Windows Təklif olunan URI "org.openssl.winstore://"-dur.
Mənbə: opennet.ru
