Sakkiz oylik rivojlanishdan so'ng, SSL/TLS protokollari va turli shifrlash algoritmlarini amalga oshiruvchi OpenSSL 3.2.0 chiqarildi. OpenSSL 3.2-ni qo‘llab-quvvatlash 2025-yil 23-noyabrgacha davom etadi. Oldingi OpenSSL 3.1 va 3.0 LTS filiallarini qo‘llab-quvvatlash mos ravishda 2025-yil marti va 2026-yil sentabrgacha davom etadi. 1.1.1 filialini qo'llab-quvvatlash joriy yilning sentyabr oyida yakunlandi. Loyiha kodi Apache 2.0 litsenziyasi ostida tarqatiladi.
OpenSSL 3.2.0 ning asosiy yangiliklari:
- HTTP/3 protokolida transport sifatida ishlatiladigan QUIC protokoli (RFC 9000) uchun mijoz qo'llab-quvvatlashi qo'shildi. Amalga oshirish, boshqa narsalar qatori, bitta aloqa kanali orqali bir nechta oqimlarni uzatish imkoniyatini ham o'z ichiga oladi. QUIC dan foydalanish uchun komponentlar serverlar 2024-yil 30-apreldan kechiktirmay nashr etilishi rejalashtirilgan OpenSSL 3.3 versiyasiga kiritiladi.
QUIC - bu UDP protokoli qo'shimchasi bo'lib, u bir nechta ulanishlarni multiplekslashni qo'llab-quvvatlaydi va TLS/SSLga teng shifrlash usullarini ta'minlaydi. Protokol 2013-yilda Google tomonidan internet uchun TCP+TLS muqobili sifatida yaratilgan bo‘lib, u TCP-da sekin ulanishni o‘rnatish va muzokaralar vaqtini ko‘rib chiqadi va ma’lumotlarni uzatishda paket yo‘qolishi natijasida yuzaga keladigan kechikishlarni bartaraf etadi.
- TLS endi qoʻl siqish paytida sertifikatni siqish uchun kengaytmani qoʻllab-quvvatlaydi (RFC 8879), bu ulanishni oʻrnatishni tezlashtiradi, chunki sertifikat maʼlumotlarini uzatish qoʻl siqish paytida trafikning asosiy ulushini tashkil qiladi. Siqish zlib, zstd va Brotli kutubxonalari yordamida qo'llab-quvvatlanadi.
- Imzo yaratishda tasodifiy ketma-ketlik o‘rniga shaxsiy kalitning HMAC-SHA256 xeshidan va imzolanayotgan xabar matnidan foydalanadigan deterministik ECDSA raqamli imzo varianti (Deterministic ECDSA, RFC 6979) uchun qo‘shimcha qo‘llab-quvvatlash. Bu turli xil imzolash operatsiyalarida bir xil imzoni olish imkonini beradi, lekin maxfiy kalitni taxmin qilish uchun ishlatilishi mumkin bo'lgan ma'lumotlarning sizib chiqishiga yo'l qo'ymaydi (agar takrorlanuvchi tasodifiy ketma-ketlik yordamida turli ma'lumotlar uchun kamida ikkita imzo yaratilgan bo'lsa, maxfiy kalitni taxmin qilish mumkin).
- Ed25519 va Ed448 ochiq kalitli raqamli imzolarning kengaytirilgan variantlari uchun qoʻshimcha qoʻllab-quvvatlash: Ed25519ctx, Ed25519ph va Ed448ph (RFC 8032).
- AES-GCM-SIV shifrlash rejimi (RFC 8452) uchun qoʻshimcha qoʻllab-quvvatlash, bu GCM rejimining yuqori unumdorligini (Galois/Counter Mode) tasodifiy boʻlmagan kodni qayta ishlatishda sizib chiqishga qarshilik bilan birlashtiradi.
- 2015-yilda Parol xash funksiyasi tanlovida g‘olib bo‘lgan Argon2 kalit yaratish funksiyasi (RFC 9106) amalga oshirildi. Mavzularni birlashtirish yordami qo'shildi.
- HPKE (Gybrid Public Key Encryption, RFC 9180) mexanizmiga asoslangan gibrid shifrlashni qo‘llab-quvvatlash qo‘shildi, bu ochiq kalit shifrlashda kalitlarni uzatish qulayligini simmetrik shifrlashning yuqori samaradorligi bilan birlashtiradi (ma’lumotlar tezkor simmetrik kalit bilan shifrlangan, kalitning o‘zi esa sekin asimmetrik kalit bilan shifrlangan).
- TLS ochiq kalitlardan (RFC 7250) foydalanish imkoniyatini amalga oshiradi.
- TCP Fast Open (TFO, RFC 7413) mexanizmi uchun qo‘shimcha qo‘llab-quvvatlash, klassik 3 bosqichli ulanish bo‘yicha muzokara jarayonining birinchi va ikkinchi bosqichlarini yagona so‘rovga birlashtirib ulanishni sozlash bosqichlari sonini kamaytiradi va ulanishni sozlashning dastlabki bosqichida ma’lumotlarni jo‘natish imkonini beradi.
- TLS qo'llab-quvvatlanadigan raqamli imzo sxemalarini qo'llab-quvvatlaydi, bu algoritmlarning uchinchi tomon ilovalaridan foydalanishga imkon beradi, masalan, kvant kompyuterlariga shafqatsiz kuch hujumlariga chidamli algoritmlarning TLS da foydalanish uchun.
- TLS 1.3 Brainpool xavfsiz elliptik egri chiziqlarini qo'llab-quvvatlaydi.
- SM4-XTS protsessor ko'rsatmalari uchun qo'shimcha yordam.
- Platformada Windows Tizimning asosiy sertifikatlar omboridan foydalanish imkoniyati joriy etildi (sukut bo'yicha o'chirilgan). Do'kondagi sertifikatlarga kirish uchun Windows Tavsiya etilgan URI "org.openssl.winstore://".
Manba: opennet.ru
