OpenSSL 开发团队宣布,OpenSSL 3.2 系列的第一个版本 —— OpenSSL 3.2.0 正式 GA。
OpenSSL 3.2 实现了针对 QUIC 的初版客户端,QUIC 是 Google 开发的通用传输层网络协议,后来被 IETF 采用。 对于 OpenSSL 3.3 和明年的 OpenSSL 3.4,他们的目标是进一步完成此实现。
此外还增加了对 TLS 1.3 中 Brainpool 曲线的支持、原始公钥 (RFC7250) 支持、使用 Brotli 和 Zstd 进行证书压缩的支持、SM4-XTS 支持、确定性 ECDSA 签名、AES-GCM-SIV、混合公钥加密 (HPKE) ),以及其他特性。
OpenSSL 3.2 还将默认的 SSL/TLS 安全级别从 1 更改为 2。
OpenSSL 3.2.0 主要变化
- 客户端QUIC支持,包括对多个流的支持(RFC 9000)
- 在TLS中支持证书压缩(RFC 8879),包括对zlib、zstd和Brotli的支持
- Deterministic ECDSA(RFC 6979)
- 除了对Ed25519和Ed448的现有支持外,还支持Ed25519ctx、Ed25519ph和Ed448ph(RFC 8032)
- AES-GCM-SIV(RFC 8452)
- Argon2(RFC 9106)和支持线程池功能
- HPKE(RFC 9180)
- 在TLS中使用原始公钥的能力(RFC 7250)
- 如果操作系统允许,支持TCP Fast Open(RFC 7413)
- 在TLS中支持基于提供者的可插拔签名方案,使第三方post-quantum和其他算法提供者能够在TLS中使用这些算法
- 在TLS 1.3中支持Brainpool曲线
- SM4-XTS
- 支持使用Windows系统证书存储作为受信任根证书的来源。该功能尚未默认启用,需要使用环境变量进行激活。预计在未来的功能版本中,这将成为默认启用的功能
详情查看 NEWS 文件和 CHANGES 文件。
对新的QUIC功能感兴趣的用户,建议阅读QUIC的README文件,其中提供了相关文档和示例代码的链接。
OpenSSL 3.3将是OpenSSL 3.2之后的下一个功能性更新,最迟将于2024年4月30日发布。预计该版本将包括QUIC服务器支持。