经过五个月的开发,随着SSL/TLS协议和各种加密算法的实现,形成了OpenSSL 3.3.0库的发布。 OpenSSL 3.3 将支持到 2026 年 3.2 月。对 OpenSSL 3.1、3.0 和 2025 LTS 之前分支的支持将分别持续到 2025 年 2026 月、2.0 年 XNUMX 月和 XNUMX 年 XNUMX 月。项目代码根据 Apache XNUMX 许可证分发。
OpenSSL 3.3.0 的主要创新:
- 继续集成对 QUIC 协议 (RFC 9000) 的支持,该协议是用作 HTTP/3 协议中传输的 UDP 协议的附加组件。在新版本中:
- 添加了对通过 qlog 格式的诊断日志记录来跟踪 QUIC 连接的支持。
- 添加了对 QUIC 连接和流对象的非阻塞模式轮询的支持。
- 优化 QUIC 连接的流结束帧的生成的能力已经实现。
- 提供了在进行 API 调用时禁用 QUIC 事件处理的功能。
- 添加了对配置 QUIC 不活动超时的支持。
- 添加了 API 来查询 QUIC 流的写入缓冲区大小和填充度。
- 实现了 CMP(证书管理协议)证书管理协议的扩展,该协议在规范 RFC 9480(CMPv3 协议的定义)和 RFC 9483(低功耗设备的轻量级配置文件)中定义。
- 添加了在构建阶段禁用 atexit 函数的功能。
- 添加了不受 2038 问题影响的 SSL_SESSION API 变体:添加了在 64 位系统上使用 32 位 time_t 类型的 SSL_SESSION_get_time_ex() 和 SSL_SESSION_set_time_ex() 函数。
- EVP_PKEY_fromdata函数实现了自动获取中国剩余定理(CRT,Chinese Remainder Theorem)参数的能力。
- 添加了忽略 TLS SignatureAlgorithms 和 ClientSignatureAlgorithms 配置参数中指定的未知签名算法名称的功能。
- 新增了配置 PSK 密钥优先使用的功能 服务器 TLS 1.3 在会话恢复期间。
- 添加了 EVP_DigestSqueeze() 函数,以使用不同输出大小的多次迭代来减少 SHAKE 哈希大小。
- 增加了对在类Unix系统上导出CMake构建文件的支持; Windows (除了基于 pkg-config 的导出之外)。
- 性能优化:优化了 AES-GCM 算法在 Microsoft Azure Cobalt 100 芯片设备上的运行,AES-CTR 实现现在支持使用 ARM Neoverse V1 和 V2 扩展进行加速。为配备 M3 芯片的 Apple 系统启用 AES 和 SHA3 优化。各种加密函数使用 RISC-V 的向量扩展。添加了 CPU Loongarch5 的 md64 汇编器实现。
来源: opennet.ru
