Zuletzt aktualisiert am
Linux News & Tutorials
Bobby 🇬🇧 Borisov

OpenSSL 4.0 mit ECH-Unterstützung und umfangreicher Bereinigung des Legacy-Codes veröffentlicht

Bobby Borisov 😛 Christian Spaan

OpenSSL 4.0 führt die Unterstützung für „Encrypted Client Hello“ ein, entfernt SSLv3 und nimmt umfangreiche Änderungen an APIs, TLS und FIPS-bezogenen Funktionen vor.
Eine Übersetzung von 🇬🇧 Linuxiac.com

OpenSSL 4.0.0 wurde als Funktionsupdate der weit verbreiteten Kryptografie- und TLS-Bibliothek veröffentlicht. Diese Version bietet neue Protokollfunktionen, Änderungen an der API und die lang erwartete Entfernung von veraltetem Code.

Eine wichtige Neuerung in OpenSSL 4.0 ist die Unterstützung für Encrypted Client Hello (ECH). Die Version enthält außerdem cSHAKE-Unterstützung, neue SM2-bezogene TLS- und Signaturfunktionen aus RFC 8998, Unterstützung für SNMP KDF und SRTP KDF, Unterstützung für den Digest-Algorithmus „ML-DSA-MU“ sowie den ausgehandelten FFDHE-Schlüsselaustausch für TLS 1.2.

Für FIPS-Benutzer können Selbsttests nun während der Installation des FIPS-Moduls mithilfe der Option -defer_tests von openssl fipsinstall zurückgestellt und bei Bedarf ausgeführt werden.

OpenSSL 4.0 führt zudem mehrere Änderungen ein, die die Kompatibilität beeinträchtigen. Es entfernt die Unterstützung für SSLv3 und das SSLv2 Client Hello, streicht die Engine-Unterstützung, ersetzt das Skript c_rehash durch openssl rehash und deaktiviert veraltete TLS-Elliptische Kurven sowie explizite EC-Kurven standardmäßig zur Kompilierungszeit, sofern sie nicht während der Konfiguration wieder aktiviert werden.

Zudem ist ASN1_STRING nun undurchsichtig, mehrere X.509-bezogene APIs verwenden zusätzliche const Qualifizierer, und ältere Funktionen zum Vergleich von Zertifikatszeiten wurden zugunsten von X509_check_certificate_times() als veraltet markiert.

Weitere Änderungen im 4.0-Zweig betreffen das Verifizierungsverhalten und die interne Bereinigung. Bei Verwendung mit dem FIPS-Anbieter werden nun Untergrenzenprüfungen für PKCS5_PBKDF2_HMAC durchgesetzt. Zu den strengeren Validierungspfaden gehören zusätzliche AKID- und CRL-Überprüfungen. Libcrypto führt keine globale Bereinigung mehr über atexit() durch; stattdessen wird OPENSSL_cleanup() je nach Umgebung über einen globalen Destruktor ausgeführt oder standardmäßig nicht ausgeführt.

🎓 Für Entwickler und nachgelagerte Projekte ist OpenSSL 4.0 ein bedeutendes Upgrade. Es fügt wichtige neue kryptografische und TLS-Funktionen hinzu, entfernt aber auch Schnittstellen und Verhaltensweisen, die manche ältere Software möglicherweise noch benötigt.

Weitere Details finden Sie im Changelog.

🎓 Abschließend ist es wichtig, den Support-Zyklus zu beachten. OpenSSL 4.0 ist nun der neueste Feature-Zweig, während OpenSSL 3.5 weiterhin die aktuelle LTS-Serie bleibt. Benutzer, die die neuesten Funktionen nutzen möchten, können auf 4.0 upgraden, während diejenigen, die Wert auf einen verlängerten Wartungssupport legen, weiterhin 3.5 LTS verwenden können.

Weitere Details finden Sie in der offiziellen Ankündigung.

 

Spendieren Sie Bobby einen ☕ Ko-fi

s3n🧩net wünscht viel Vergnügen

 

Comments

Featured

Follow us

Authors

Tags