Uitgave van OpenSSL 3.2.0 met clientondersteuning voor het QUIC-protocol

Na acht maanden ontwikkeling is de release van de OpenSSL 3.2.0-bibliotheek afgerond met de implementatie van SSL/TLS-protocollen en diverse encryptie-algoritmen. OpenSSL 3.2 wordt ondersteund tot 23 november 2025. De ondersteuning voor eerdere versies van OpenSSL 3.1 en 3.0 LTS loopt respectievelijk tot maart 2025 en september 2026. De ondersteuning voor versie 1.1.1 is in september van dit jaar beΓ«indigd. De projectcode wordt gedistribueerd onder de Apache 2.0-licentie.

Belangrijkste innovaties van OpenSSL 3.2.0:

  • Clientondersteuning voor het QUIC-protocol (RFC 9000), dat als transportprotocol in het HTTP/3-protocol wordt gebruikt, is toegevoegd. De implementatie omvat onder andere de mogelijkheid om meerdere streams over één communicatiekanaal te verzenden. Componenten voor het gebruik van QUIC op servers zal worden opgenomen in de OpenSSL 3.3-release, die naar verwachting uiterlijk 30 april 2024 zal verschijnen.

    QUIC is een superstructuur op het UDP-protocol die multiplexing van meerdere verbindingen ondersteunt en encryptiemethoden biedt die gelijkwaardig zijn aan TLS/SSL. Het protocol werd in 2013 door Google ontwikkeld als alternatief voor de TCP+TLS-bundel voor het web. Het lost de problemen op met de lange tijd die nodig is om verbindingen in TCP tot stand te brengen en te onderhandelen, en elimineert vertragingen als gevolg van pakketverlies tijdens gegevensoverdracht.

  • TLS ondersteunt de uitbreiding voor compressie van certificaten tijdens de verbindingsonderhandelingen (RFC 8879), wat zorgt voor een snellere verbindingsopbouw, aangezien de overdracht van certificaatgegevens het leeuwendeel van het verkeer tijdens de verbindingsonderhandelingen uitmaakt. Compressie wordt ondersteund door de bibliotheken zlib, zstd en Brotli.
  • Ondersteuning toegevoegd voor de deterministische ECDSA-optie voor digitale handtekeningen (Deterministic ECDSA, RFC 6979). Deze optie gebruikt de HMAC-SHA256-hash van de persoonlijke sleutel en de tekst van het bericht dat wordt ondertekend in plaats van een willekeurige reeks bij het genereren van een handtekening. Hierdoor kunt u altijd dezelfde handtekening krijgen bij verschillende ondertekeningsbewerkingen, maar is er geen sprake van gegevenslekken die kunnen worden gebruikt om de persoonlijke sleutel te raden (de persoonlijke sleutel kan worden geraden als er ten minste twee handtekeningen voor verschillende gegevens worden gegenereerd met behulp van een herhaalde willekeurige reeks).
  • Ondersteuning toegevoegd voor uitgebreide varianten van de digitale handtekeningen met openbare sleutel Ed25519 en Ed448: Ed25519ctx, Ed25519ph en Ed448ph (RFC 8032).
  • Ondersteuning toegevoegd voor de AES-GCM-SIV-versleutelingsmodus (RFC 8452), die de hoge prestaties van de GCM-modus (Galois/Counter Mode) combineert met weerstand tegen lekken bij hergebruik van een willekeurige nonce-code.
  • De Argon2-sleutelgeneratiefunctie (RFC 9106), die in 2015 de wedstrijd voor wachtwoordhashingfuncties won, is geΓ―mplementeerd. De mogelijkheid om een ​​threadpool te gebruiken is toegevoegd.
  • Ondersteuning toegevoegd voor hybride encryptie op basis van het HPKE-mechanisme (Hybrid Public Key Encryption, RFC 9180). Dit mechanisme combineert het gemak van sleuteloverdracht bij encryptie met openbare sleutels met de hoge prestaties van symmetrische encryptie (gegevens worden gecodeerd met een snelle symmetrische sleutel en de sleutel zelf wordt gecodeerd met een langzame asymmetrische sleutel).
  • TLS biedt de mogelijkheid om onbewerkte openbare sleutels te gebruiken (RFC 7250).
  • Ondersteuning toegevoegd voor het TCP Fast Open (TFO, RFC 7413)-mechanisme. Dit vermindert het aantal stappen voor het instellen van de verbinding door de eerste en tweede stap van het klassieke 3-staps verbindingsonderhandelingsproces te combineren in één aanvraag. Hierdoor is het mogelijk om gegevens te verzenden in de beginfase van het instellen van de verbinding.
  • TLS implementeert ondersteuning voor pluggable digitale handtekeningschema's die het gebruik van algoritme-implementaties van derden mogelijk maken, bijvoorbeeld voor het gebruik van kwantumresistente algoritmen in TLS.
  • TLS 1.3 voegt ondersteuning toe voor Brainpool-beveiligde elliptische curven.
  • Ondersteuning toegevoegd voor SM4-XTS-processorinstructies.
  • Op het platform Windows De mogelijkheid om het systeemcertificaatarchief te gebruiken is geΓ―mplementeerd (standaard uitgeschakeld). Om toegang te krijgen tot certificaten in het archief. Windows De voorgestelde URI is "org.openssl.winstore://".

Bron: opennet.ru

Koop betrouwbare hosting voor sites met DDoS-bescherming, VPS VDS-servers πŸ”₯ Koop betrouwbare websitehosting met DDoS-bescherming, VPS- en VDS-servers | ProHoster