OpenSSL 3.4.0 发布


OpenSSL 3.4.0 现已发布,这是一个功能版本。包含以下潜在​​重大或不兼容的变化:

  • 弃用 TS_VERIFY_CTX_set_* 函数并添加具有改进语义的替代 TS_VERIFY_CTX_set0_* 函数
  • 重新设计了 Windows 上 OPENSSLDIR/ENGINESDIR/MODULESDIR 的使用,这样以前的 build time locations 现在可以在运行时通过 registry keys 定义
  • FIPS provider 中的 X25519 和 X448 密钥交换实现未经批准且具有fips=noproperty。
  • SHAKE-128 和 SHAKE-256 实现不再具有默认摘要长度。这意味着这些算法不能与 EVP_DigestFinal/_ex() 一起使用,除非之前设置了xoflen参数。
  • 如果在配置文件中设置config_diagnostics=1,将导致 SSL_CTX_new() 和 SSL_CTX_new_ex() 在 ssl 模块配置出现错误时返回错误信息。
  • 对于所有最低 TLS 版本 > 1.0 的连接,TLS 客户端 hello 中将使用空的重新协商扩展,而不是空的重新协商 SCSV。
  • 弃用 SSL_SESSION_get_time()、SSL_SESSION_set_time() 和 SSL_CTX_flush_sessions() 函数,转而使用各自的_ex 函数,这些函数在具有 Y2038 安全time_t的平台上是 Y2038 安全的。

此版本添加了以下新功能:

  • 支持直接获取复合签名算法,如 RSA-SHA2-256,包括新的 API functions
  • FIPS provider 中的 FIPS 指标支持以及未来 FIPS 140-3 验证所需的 FIPS provider 的各种更新
  • PKCS#12 中 RFC 9579 (PBMAC1) 的实现
  • 使用静态链接的 jitterentropy 库的新随机种子源 RNG JITTER
  • 新选项-not_before-not_after,用于明确设置使用reqx509 应用程序创建的证书的开始和结束日期
  • 支持 RFC 9150 和 TLS 1.3 中的 TLS_SHA256_SHA256 和 TLS_SHA384_SHA384 纯密码套件
  • 支持在 CMP 中请求 CRL
  • 支持与属性证书相关的其他 X.509v3 扩展
  • 初始属性证书 (RFC 5755) 支持
  • 可以自定义 ECC 组初始化以使用预先计算的值来节省 CPU 时间,并通过 P-256 实现使用此功能

更新公告:https://openssl-library.org/news/openssl-3.4-notes/index.html


相關推薦

2024-10-25

出,在 Intel Xeon 服务器上的测试中,Rustls 的表现要优于 OpenSSL 和 BoringSSL。Rustls 是一个用 Rust 编写的内存安全的 TLS 实现,目前已准备好投入生产使用。提供: C 和 Rust API FIPS 支持 后量子密钥交换 Encrypted Client Hello 操作

2022-11-03

OpenSSL 已发布 3.0.7 修复两个高危漏洞:CVE-2022-3786 和 CVE-2022-3602。官方建议 OpenSSL 3.0.x 用户应升级到 OpenSSL 3.0.7,因为这两个漏洞影响 OpenSSL 3.0.0 至 3.0.6 版本,不影响 OpenSSL 1.1.1 和 1.0.2。 OpenSSL 团队表示,目前尚未发现利用

2023-06-21

OpenSSL 是一个广受使用的开源套件,应用程序可以使用这个套件来进行安全通信。其 1.1.1 版本最初发布于 2018 年 9 月,由于官方对每一个长期支持版本提供 5 年的更新与维护,因此 OpenSSL 官方博客日前发布通告,称 OpenSSL 1.1

2024-04-11

OpenSSL 3.3.0 已发布,此版本在 OpenSSL 3.2 中引入的 QUIC 连接支持的基础上,对 QUIC 传输协议支持做了许多改进。 OpenSSL 3.2 的重点是 QUIC 客户端支持,而 OpenSSL 3.3 则在 QUIC 服务器端做了更多工作。有关 OpenSSL 当前 QUIC HTTP/3 支持的

2023-11-25

OpenSSL 开发团队宣布,OpenSSL 3.2 系列的第一个版本 —— OpenSSL 3.2.0 正式 GA。 OpenSSL 3.2 实现了针对 QUIC 的初版客户端,QUIC 是 Google 开发的通用传输层网络协议,后来被 IETF 采用。 对于 OpenSSL 3.3 和明年的 OpenSSL 3.4,他们的目标

2023-10-29

OpenSSL 3.2 首个 Beta 版本已发布。 OpenSSL 3.2 实现了针对 QUIC 的初步客户端,QUIC 是 Google 开发的通用传输层网络协议,后来被 IETF 采用。 对于 OpenSSL 3.3 和明年的 OpenSSL 3.4,他们的目标是进一步完成此实现。 此外还增加了对 TLS 1.3

2022-10-29

Fedora 项目经理 BEN COTTON 在博客中的介绍:因严重的 OpenSSL 漏洞,原定于 10 月中旬发布的 Fedora 37 将延迟至 11 月中旬发布。 10 月 25 日,OpenSSL 团队在邮件和推特中宣布 OpenSSL 3.x 版本出现了一个非常严重的安全漏洞,将

2023-03-16

OpenSSL 3.1 正式发布了,OpenSSL 3.1 主要是对 OpenSSL 3.0 中可用功能的一个小型增量改进版本。 主要变化是: 符合 FIPS 140-3 的 FIPS 提供程序 3.1 版本的FIPS 提供程序已升级为符合 FIPS 140-3 标准。为了实现此合规性,需要对 FIPS 提供

2022-05-25

Nginx-1.22.0 稳定版已经发布。 Nginx 1.22 为流模块带来了 OpenSSL 3.0 兼容性、对请求走私和跨协议攻击的强化,以及对应用层协议协商 (ALPN) 的支持。 此外,该版本还包括对 PCRE2 库的支持,对 OpenSSL 3.0 和 SSL_sendfile() 的支持,改进

2022-11-23

版本仍然由 Linux 5.15 LTS 内核系列提供支持,但把默认的 OpenSSL 实现升级到 OpenSSL 3.0 版本,此外,Rust 现在可用于所有支持的架构。 Alpine Linux 3.17 还附带了一些最新的 GNU/Linux 和开源技术,例如 GCC 12、LLVM 15、GNU Bash 5.2、Kea 2.2、P

2023-09-13

多元共进|2023 Google 开发者大会精彩演讲回顾 OpenSSL 3.2 首个 Alpha 已发布。 此版本增加了许多新功能,值得关注的变化包括: 支持客户端 QUIC,包括对多流 (multiple streams) 的支持 (RFC 9000) 支持在 TLS 中进行证书压缩 (RFC 8879

2023-06-22

Key 操作进行特权升级(中) CVE-2023-30586:通过任意 OpenSSL 引擎绕过实验许可模型(中) CVE-2023-30588:由于 x509 证书中的无效公钥信息导致进程中断(中) CVE-2023-30589:通过 CR 分隔的 Empty headers 进行 HTTP Request Smuggling

2023-08-17

支持 TLS_AES_128_CCM_SHA256 密码套件 Change: nginx 在加载 OpenSSL 配置时使用应用程序名称 "nginx" Change: 如果使用 --with-openssl 选项构建 OpenSSL,且未设置 OPENSSL_CONF 环境变量,则 nginx 不会尝试加载 OpenSSL 配置 Bugfix: 修复当

2023-01-06

未包含在 README.REDIST.BINS 文件中)。 修复了错误GH-9890(OpenSSL legacy providers 在 Windows 上不可用)。 修复了错误GH-9650(无法初始化堆:[0x000001e7])。 修复了 Windows ftok(3) emulation 中潜在的未定义行为。 修复了 GH-9769(对象