ISRG (Internet Security Research Group), yang merupakan pendiri proyek Let's Encrypt dan mempromosikan pengembangan teknologi untuk meningkatkan keamanan Internet, mengumumkan penerbitan lapisan Rustls-openssl-compat, yang memungkinkan penggunaan Pustaka Rustls sebagai pengganti transparan untuk OpenSSL. Proyek saat ini menyediakan implementasi Rustls-libssl yang menyediakan kompatibilitas dengan libssl, dan implementasi libcrypto sedang dalam pengembangan.
Fungsionalitas yang ada di lapisan ini cukup untuk memastikan pengoperasian nginx berdasarkan Rustls. Untuk memigrasikan nginx ke Rustls, Anda hanya perlu mengganti pustakanya, tanpa perlu membangun kembali atau mengubah nginx. Rencana pengembangan langsung Rustls mencakup optimalisasi kinerja di area di mana Rustls masih tertinggal dari OpenSSL, dan dukungan untuk RFC 8879 untuk kompresi sertifikat. Selain itu, pengumuman tersebut menyebutkan rencana untuk mentransfer elemen infrastruktur pusat sertifikasi Let's Encrypt dari OpenSSL ke Rustls.
Proyek Rustls mengembangkan implementasi klien dan server dari protokol TLS1.2 dan TLS1.3 untuk digunakan dalam aplikasi Rust. Rustls tidak menyediakan implementasi kriptografi primitifnya sendiri, tetapi menggunakan penyedia fungsi kriptografi yang dapat dicolokkan (algoritme ECDSA, Ed25519, RSA, ChaCha20-Poly1305, AES128-GCM, dan AES256-GCM didukung). Secara default, Rustls menggunakan penyedia kripto berdasarkan pustaka aws-lc-rs, yang dikembangkan oleh Amazon dan didasarkan pada kode C++ BoringSSL, diikuti oleh Google fork OpenSSL. Pustaka cincin, sebagian didasarkan pada BoringSSL dan menggabungkan kode perakitan, C++ dan Rust, juga dapat digunakan sebagai penyedia kripto.
Patut dicatat bahwa nginx memiliki dukungan bawaan untuk membangun dengan BoringSSL, yang memungkinkan Anda menggunakan perpustakaan ini secara langsung tanpa lapisan yang tidak perlu. Selain itu, selain dukungan Rustls bawaan untuk aws-lc-rs dan pustaka cincin, berdasarkan kode BoringSSL, beberapa penyedia kripto pihak ketiga juga sedang dikembangkan untuk Rustls, memungkinkan penggunaan mbedtls (kode C ), perpustakaan BoringSSL (C++) dan RustCrypto (Rust).
Sumber: opennet.ru
