הגרסה החדשה של OpenSSL 3.3.0 כבר שוחררה ובמהדורה זו שורת שיפורים יושמו עבור פרוטוקול QUIC, כמו גם שיפורים ל תמיכה בארכיטקטורות שונות, תיקוני באגים ועוד.
OpenSSL היא ספריית קוד פתוח חיוני לאבטחה בתקשורת רשת זה מספק כלים להצפנה ופענוח נתונים, יצירת מפתחות ותעודות דיגיטליות, ליישם פרוטוקולי אבטחה כגון SSL/TLS, ולבצע hashing וחתימות דיגיטליות.
מה חדש ב-OpenSSL 3.3.0?
בגרסה החדשה הזו, המוצגת של OpenSSL 3.3.0, אחת התכונות החדשות החשובות ביותר היא שיפורים מיושמים בתמיכה בפרוטוקול QUIC (RFC 9000), משלים לפרוטוקול UDP המשמש ב-HTTP/3. בין התוספות בגרסה החדשה:
- תמיכה ב-qlog שהוא פורמט יומן סטנדרטי המשמש למעקב אחר חיבורי QUIC.
- ממשקי API נוספו כדי לאפשר הגדרת פסק זמן סרק שנקבע על חיבורי QUIC, דבר שימושי לכוונון התנהגות חיבור בהתבסס על דרישות יישום ספציפיות.
- כעת ניתן להשבית עיבוד אירוע QUIC מרומז עבור אובייקטי SSL QUIC באמצעות ממשקי API חדשים.
- נוספו ממשקי API כדי לאפשר שאילתות על הגודל והניצול של מאגר הכתיבה בזרם QUIC.
- הציג API חדש בשם
SSL_write_ex2
, אשר ניתן להשתמש בו באופן ספציפי לשליחת מצב סוף זרימה (END) בצורה מיטבית בעת שימוש ב-QUIC. זה משפר את היעילות של העברת נתונים באמצעות QUIC. - נוספה תמיכה מוגבלת בשאלת חיבורי QUIC ואובייקטים סטרימינג שאינם חוסמים. זה יכול לשפר את היעילות והביצועים בסביבות שבהן נדרש טיפול יעיל במספר חיבורי QUIC.
אחד מהשינויים הבולטים בגרסה חדשה זו הוא הטמעת הרחבות לפרוטוקול ניהול אישורי CMP (פרוטוקול ניהול אישורים) לפי מפרטי RFC 9480 ו-RFC 9483, כמו גם הוסיפו את היכולת להשבית את פונקציית atexit בשלב הבנייה, גרסה של ה-API של SSL_SESSION כדי למנוע את בעיית שנת 2038 במערכות 32 סיביות, ופונקציית EVP_PKEY_fromdata להשגת פרמטרים אוטומטית של משפט השאריות הסיני.
בנוסף לכך, הוא נוסף API חדש בשם EVP_DigestSqueeze()
מה שמאפשר לצמצם מספר פעמים עם שונה גדלי פלט בעת שימוש באלגוריתם SHAKE, כמו גם תמיכה בהתעלמות משמות אלגוריתמי חתימה לא ידועים, הגדרת שימוש עדיפות במפתחות PSK בשרת TLS 1.3,
יושמו שיפורים ביכולת לייצא קבצי build עבור CMake במערכות Unix ו-Windows, יחד עם אופטימיזציות ביצועים ספציפיות עבור ארכיטקטורות ושבבים שונים, כגון ביצועי אלגוריתם AES-GCM אופטימליים במכשירי Azure Cobalt 100, האצת AES-CTR ב-ARM Neoverse V1 ו-V2, AES ו-SHA3 אופטימיזציות במערכות אפל עם שבבי M3, וכן מימוש md5 assembler עבור מעבדי Loongarch64.
של שינויים אחרים הבולטים:
- תיקנו בעיות אבטחה כגון גידול בלתי מוגבל בזיכרון בטיפול בהפעלה ב-TLSv1.3, שזוהה כ-CVE-2024-2511. בנוסף, בוצעו שיפורים ביציבות ובאמינות של ערכת הכלים OpenSSL.
- אופטימיזציות שונות לשגרות הצפנה באמצעות הרחבות הצפנה וקטוריות RISC-V
- נוסף יישום build עבור md5 ב-loongarch64
- הגדרות ההפעלה והתצורה של טעינה רכה עבור ספקים ב-openssl.cnf עודכנו כדי לדרוש ערך של [1|yes|true|on] (אותיות קטנות או אותיות גדולות) כדי לאפשר את התצורה. לעומת זאת, ערך של [0|no|false|off] ישבית את ההגדרה.
- במהירות openssl, שינה את פונקציית ה-hash המוגדרת כברירת מחדל בשימוש עם hmac מ-md5 ל-sha256.
אם כן מעוניין לדעת יותר על זה, אתה יכול לבדוק את הפרטים בקישור הבא.
כיצד להתקין OpenSSL על לינוקס?
למי שמעוניין להתקין את OpenSSL בהפצה שלהם, תוכל לבצע את השלבים שאנו חולקים בהתאם להפצה הספציפית שבה אתה משתמש:
אובונטו, דביאן ונגזרות של אלה יכולים לעשות זאת על ידי פתיחת מסוף והפעלת הפקודה הבאה:
sudo apt install openssl
פדורה
בהפצות מבוססות Red Hat, כגון Fedora, אתה יכול להתקין OpenSSL באמצעות dnf:
sudo dnf install openssl
למשתמשי Arch Linux או הפצות מבוססות Arch:
sudo pacman -S openssl