Az OpenSSL 3.5.0 legújabb verziója, jelentős újdonságokat és fejlesztéseket hoz a nyílt forráskódú titkosítási könyvtárhoz. A frissítés 110 commitot ölel fel a főágon, és számos területen javítja a rendszer teljesítményét, biztonságát ezáltal nagyobb rugalmasságot biztosítva.
Tartalomjegyzék
Fontos változtatások és kompatibilitási megfontolások
A verzió számos kritikus módosítást tartalmaz, amelyek befolyásolhatják a meglévő implementációkat. A req, cms és smime alkalmazások alapértelmezett titkosítási algoritmusa a korábbi des-ede3-cbc helyett mostantól aes-256-cbc lett. Emellett a TLS támogatott csoportok listája is frissült: a hibrid PQC KEM csoportok kerültek előtérbe, míg a gyakorlatban kevéssé használt csoportok el lettek távolítva. A TLS kulcscsere mechanizmusa is változott: az X25519MLKEM768 és X25519 kerülnek prioritást élvező helyre. A változások közé tartozik továbbá a BIO_meth_get_*() függvények elavulttá nyilvánítása is.
Újdonságok és fejlesztések az OpenSSL 3.5.0 verzióban
A 3.5.0 verzió számos úttörő funkcióval bővült. A legkiemelkedőbbek közé tartozik a QUIC (RFC 9000) protokoll szerveroldali támogatása, amely lehetővé teszi a modern, gyorsabb adatátvitelt. Emellett a külső QUIC implementációk (például 0-RTT támogatás) integrációja is lehetségessé vált. Új post-kvantum kriptográfiai algoritmusok (ML-KEM, ML-DSA, SLH-DSA) kerültek bevezetésre, amelyek a kvantumszámítógépek elleni védelemhez nyújtanak alapot.
A konfigurációs lehetőségek közül kiemelendő a no-tls-deprecated-ec opció, amely letiltja az RFC8422 által elavultnak nyilvánított TLS csoportok támogatását, valamint az enable-fips-jitter, amely a FIPS provider számára JITTER-alapú véletlenszám-generálást tesz lehetővé. További fejlesztések közé tartozik a központi kulcsgenerálás támogatása a CMP-ben, a szimmetrikus kulcsok kezelése (EVP_SKEY), valamint a TLS kulcscsere csoportok rugalmasabb konfigurálása.
Ismert hibák és tervezett javítások
A verzió egyik legfontosabb hibája a #27282 azonosítójú probléma: az SSL_accept függvény hibát dob, ha olyan kapcsolaton hívják, amelyet SSL_accept_connection hozott létre. A hiba megkerüléséhez a fejlesztők az SSL_do_handshake használatát javasolják. A hibát az OpenSSL 3.5.1 verzióban tervezik kijavítani, amely hamarosan megjelenik.
A frissítés letölthető a hivatalos OpenSSL oldalról, és ajánlott telepíteni minden olyan rendszeren, ahol a biztonságos adatátvitel és titkosítás kritikus szerepet játszik. A részletes változáslistát a GitHub repositoryban találod.
