ISRG(網路安全研究小組)是 Let's Encrypt 專案的創始人,致力於推動提高網路安全性的技術開發,宣布發布 rustls-openssl-compat 層,該層允許使用Rustls 庫作為 OpenSSL 的透明替代品。該專案目前提供了 rustls-libssl 的實現,它提供了與 libssl 的兼容性,並且 libcrypto 實作正在開發中。
此層存在的功能足以保證基於 Rustls 的 nginx 的運作。要將 nginx 遷移到 Rustls,只需替換庫即可,無需重建或更改 nginx。 Rustls 的近期開發計劃包括 Rustls 仍落後於 OpenSSL 的領域的效能最佳化,以及對 RFC 8879 憑證壓縮的支援。此外,該公告還提到了將 Let's Encrypt 認證中心基礎設施的元素從 OpenSSL 轉移到 Rustls 的計劃。
Rustls 專案開發 TLS1.2 和 TLS1.3 協定的客戶端和伺服器實現,以便在 Rust 應用程式中使用。 Rustls 不提供自己的加密原語實現,而是使用可插入的加密函數提供者(支援 ECDSA、Ed25519、RSA、ChaCha20-Poly1305、AES128-GCM 和 AES256-GCM 演算法)。預設情況下,Rustls 使用基於 aws-lc-rs 庫的加密提供程序,該庫由 Amazon 開發,基於 BoringSSL 的 C++ 程式碼,隨後是 OpenSSL 的 Google 分支。環庫部分基於 BoringSSL 並結合了彙編程式碼、C++ 和 Rust,也可以用作加密提供者。
值得注意的是,nginx 內建了對使用 BoringSSL 建置的支持,這允許您直接使用這個庫,而無需不必要的層。此外,除了對 aws-lc-rs 和 Ring 庫的內建 Rustls 支援之外,基於 BoringSSL 程式碼,還為 Rustls 開發了多個第三方加密供應商,允許使用 mbedtls(C 程式碼) )、BoringSSL (C++) 和RustCrypto (Rust) 函式庫。
來源: opennet.ru
