E foi lançado o OpenSSL 3.3 com várias adições para o QUIC, e mais. Confira as novidades e veja onde baixar o software.
OpenSSL é uma implementação de código aberto dos protocolos SSL e TLS. Essa biblioteca implementa as funções básicas de criptografia e disponibiliza várias funções utilitárias. Também estão disponíveis wrappers que permitem o uso desta biblioteca em várias outras linguagens.
Em resumo, o OpenSSL é um kit de ferramentas de criptografia que implementa os protocolos de rede SSL (Secure Sockets Layer) e TLS (Transport Layer Security) e os padrões de criptografia relacionados exigidos por eles.
A ferramenta de linha de comando OpenSSL é comumente usada para gerar chaves privadas, criar CSR (Solicitação de Assinatura de Certificado), instalar seu certificado SSL/TLS e identificar informações de certificado.
Agora, foi anunciado o lançamento do OpenSSL 3.3.
Novidades do OpenSSL 3.3
Chegando quatro meses e meio após o OpenSSL 3.2, o lançamento do OpenSSL 3.3 traz suporte para QLog para rastreamento de conexões QUIC, juntamente com suporte limitado para pesquisa de conexões QUIC e objetos de fluxo de maneira sem bloqueio, bem como várias novas APIs para permitir a configuração de vários aspectos para conexões usando o protocolo orientado a conexões criptografadas QUIC que opera na Camada de Transporte, ou Camada 4, no modelo OSI.
As novas APIs permitem que os usuários configurem o tempo limite de inatividade negociado para conexões QUIC, determinem o número de fluxos adicionais que podem ser criados atualmente para uma conexão QUIC, desabilitem o processamento implícito de eventos QUIC para objetos SSL QUIC, e consulte o tamanho e a utilização do buffer de gravação de um fluxo QUIC.
OpenSSL 3.3 também vem com uma nova API SSL_write_ex2 para enviar uma condição de fim de fluxo (FIN) de forma otimizada ao usar QUIC, uma nova API EVP_DigestSqueeze() para permitir que o SHAKE esprema várias vezes com diferentes tamanhos de saída e novo SSL_SESSION_get_time_ex () e funções de API SSL_SESSION_set_time_ex() que usam time_t, que é Y2038 seguro em sistemas de 32 bits quando o horário de 64 bits está habilitado.
Novas opções -set_issuer e -set_subject também foram adicionadas ao comando openssl x509 para permitir que os usuários substituam o “Emissor” e o “Assunto” ao criar um certificado, e a antiga opção -subj é um alias para a nova opção -set_subject.
Além disso, o OpenSSL 3.3 introduz uma nova opção SSL_OP_PREFER_NO_DHE_KEX para permitir que os usuários configurem um servidor TLS1.3 para preferir a retomada da sessão usando uma troca de chaves somente PSK em vez de PSK com DHE, quando ambos estiverem disponíveis, bem como uma nova API X509_STORE_get1_objects para evitar problemas com a API X509_STORE_get0_objects existente em aplicativos multithread.
Fora isso, o algoritmo hash BLAKE2s foi atualizado nesta versão para corresponder ao suporte do BLAKE2b para comprimento de saída configurável, a função EVP_PKEY_fromdata foi aumentada para permitir a derivação de parâmetros CRT (Teorema do Resto Chinês) quando solicitado e uma nova configuração atexit switch foi adicionado para controlar se OPENSSL_cleanup é registrado quando libcrypto é descarregado.
Vários novos recursos do CMPv3 definidos no RFC 9480 e RFC 9483 também foram adicionados no OpenSSL 3.3, que vem com um exportador para CMake em sistemas Unix e Windows junto com o exportador pkg-config, bem como suporte para ignorar entradas desconhecidas no Opções de configuração TLS SignatureAlgorithms e ClientSignatureAlgorithms e as respectivas chamadas para SSL[_CTX]_set1_sigalgs() e SSL[_CTX]_set1_client_sigalgs() que começam com o caracter “?”.
Para saber mais sobre essa versão do OpenSSL, acesse a nota de lançamento.
Como instalar
Normalmente, OpenSSL está disponível nos repositórios das principais distribuições Linux, então, basta manter seu sistema atualizado.
Mas você também pode baixar o código-fonte do OpenSSL. Se você quiser fazer isso, faça o download do OpenSSL OpenSSL aqui e informe sobre quaisquer problemas que você encontrar abrindo um problema na página do github.
