Lançamento do OpenSSL 3.2.0 com suporte ao cliente para o protocolo QUIC

Após oito meses de desenvolvimento, o lançamento da biblioteca OpenSSL 3.2.0 foi formado com a implementação dos protocolos SSL/TLS e diversos algoritmos de criptografia. OpenSSL 3.2 terá suporte até 23 de novembro de 2025. O suporte para ramificações anteriores do OpenSSL 3.1 e 3.0 LTS continuará até março de 2025 e setembro de 2026, respectivamente. O suporte para branch 1.1.1 foi descontinuado em setembro deste ano. O código do projeto é distribuído sob a licença Apache 2.0.

Principais inovações do OpenSSL 3.2.0:

  • Adicionado suporte de cliente para o protocolo QUIC (RFC 9000), usado como transporte no protocolo HTTP/3. A implementação inclui, entre outras coisas, a capacidade de transmitir múltiplos fluxos em um único canal de comunicação. Componentes para usar QUIC em серверах Será incluído na versão 3.3 do OpenSSL, que está prevista para ser publicada até 30 de abril de 2024.

    QUIC é uma extensão do protocolo UDP que suporta multiplexação de múltiplas conexões e fornece métodos de criptografia equivalentes a TLS/SSL. O protocolo foi criado em 2013 pelo Google como uma alternativa à combinação TCP+TLS para a Web, resolvendo problemas de longos tempos de configuração de conexão e negociação em TCP e eliminando atrasos quando pacotes são perdidos durante a transferência de dados.

  • O TLS implementa suporte para uma extensão para compactação de certificados no estágio de negociação da conexão (RFC 8879), que permite uma configuração mais rápida da conexão, uma vez que a transferência de dados do certificado representa a maior parte do tráfego durante o estágio de negociação da conexão. A compactação usando as bibliotecas zlib, zstd e Brotli é suportada.
  • Adicionado suporte para uma versão determinística de assinaturas digitais ECDSA (Deterministic ECDSA, RFC 6979) em que, em vez de uma sequência aleatória ao gerar uma assinatura, é utilizado o hash HMAC-SHA256 da chave privada e o texto da mensagem assinada, que permite que você sempre receba a mesma assinatura em diferentes operações de assinatura, mas não permite o vazamento de dados que podem ser usados ​​para adivinhar a chave privada (a chave privada pode ser adivinhada se pelo menos duas assinaturas para dados diferentes forem geradas usando uma repetição aleatória seqüência).
  • Adicionado suporte para assinaturas digitais estendidas de chave pública Ed25519 e Ed448: Ed25519ctx, Ed25519ph e Ed448ph (RFC 8032).
  • Adicionado suporte para o modo de criptografia AES-GCM-SIV (RFC 8452), que combina o alto desempenho do modo GCM (Galois/Counter Mode) com resistência a vazamentos ao reutilizar código nonce aleatório.
  • Foi implementada a função de geração de chave Argon2 (RFC 9106), que venceu a competição por funções de hash de senha em 2015. Adicionada a capacidade de usar um pool de threads.
  • Adicionado suporte para criptografia híbrida baseada no mecanismo HPKE (Hybrid Public Key Encryption, RFC 9180), que combina a simplicidade da transferência de chave na criptografia de chave pública com o alto desempenho da criptografia simétrica (os dados são criptografados com uma chave simétrica rápida e o a própria chave é criptografada com uma chave assimétrica lenta).
  • O TLS implementa a capacidade de usar chaves públicas “brutas” (RFC 7250).
  • Adicionado suporte para o mecanismo de abertura rápida de conexão TCP (TFO - TCP Fast Open, RFC 7413), que permite reduzir o número de etapas de configuração de conexão combinando a primeira e a segunda etapas do processo clássico de negociação de conexão de 3 etapas em uma solicitação e possibilita o envio de dados na fase inicial de configuração da conexão.
  • O TLS implementa suporte para esquemas de assinatura digital conectáveis, permitindo o uso de implementações de algoritmos de terceiros, por exemplo, para o uso de algoritmos em TLS que são resistentes à força bruta em computadores quânticos.
  • TLS 1.3 adiciona suporte para curvas elípticas seguras do Brainpool.
  • Adicionado suporte para instruções do processador SM4-XTS.
  • a plataforma Windows A capacidade de usar o repositório de certificados raiz do sistema foi implementada (desativada por padrão). Para acessar os certificados no repositório, siga as instruções abaixo. Windows O URI sugerido é "org.openssl.winstore://".

Fonte: opennet.ru

Compre hospedagem confiável para sites com proteção DDoS, servidores VPS VDS 🔥 Compre hospedagem de sites confiável com proteção contra DDoS, servidores VPS/VDS | ProHoster