E foi lançado oficialmente o OpenSSL 3 após 3 anos de desenvolvimento. Confira as novidades dessa prévia e veja onde baixar o software.
OpenSSL é uma implementação de código aberto dos protocolos SSL e TLS. Essa biblioteca implementa as funções básicas de criptografia e disponibiliza várias funções utilitárias. Também estão disponíveis wrappers que permitem o uso desta biblioteca em várias outras linguagens.
Em resumo, o OpenSSL é um kit de ferramentas de criptografia que implementa os protocolos de rede SSL (Secure Sockets Layer) e TLS (Transport Layer Security) e os padrões de criptografia relacionados exigidos por eles.
A ferramenta de linha de comando OpenSSL é comumente usada para gerar chaves privadas, criar CSR (Solicitação de Assinatura de Certificado), instalar seu certificado SSL/TLS e identificar informações de certificado.
A reputação do OpenSSL sofreu um sério abalo há 7 anos com o bug Heartbleed. Resumindo, em 2012 o programador alemão Dr. Robin Seggelmann adicionou um novo recurso e se esqueceu de validar uma variável contendo um comprimento.
E então, por cerca de 2 anos, o código defeituoso foi usado, em um momento ou outro, por quase todos os usuários da Internet no mundo. Uma versão corrigida foi lançada em abril de 2014, no mesmo dia em que o Heartbleed foi divulgado publicamente.
Agora, após mais de 7.500 commits e contribuições de mais de 350 autores diferentes, a OpenSSL Software Foundation lançou uma versão completamente atualizada do software OpenSSL, o OpenSSL 3.0.
Novidades do OpenSSL 3
O OpenSSL 3.0 apresenta uma série de novos conceitos que os desenvolvedores de aplicativos e usuários do OpenSSL devem estar cientes. Uma visão geral dos conceitos-chave em libcrypto está disponível na página de manual libcrypto.
Um recurso importante do OpenSSL 3.0 é o novo módulo FIPS, com um plano para remover uma série de funções de API de baixo nível que podem causar problemas de segurança.
Para quem não conhece, FIPS (Federal Information Processing Standards) é um conjunto de requisitos de segurança do governo dos EUA para dados e sua criptografia.
Atualmente, o laboratório do projeto está testando o módulo e retirando a papelada para a validação FIPS 140-2. O certificado final não deve ser emitido até o próximo ano.
Outra grande mudança é a nova política de licenças. Do OpenSSL 3.0, o projeto mudou para uma licença Apache 2.0 padrão.
Isso significa que o projeto pode ser usado para fins comerciais e não comerciais. As antigas licenças duplas OpenSSL e SSLeay ainda se aplicam a versões anteriores, como 1.1.1 e anteriores.
Mais detalhes sobre o candidato a lançamento do OpenSSL 3.0 podem ser encontrados no site do projeto em OpenSSL.org.
Muitos mais detalhes técnicos sobre a abundância de mudanças para o OpenSSL 3.0 podem ser encontrados no OpenSSL Wiki. Espera-se que o OpenSSL 3.0.0 estável chegue no terceiro trimestre.
Como instalar
Normalmente, OpenSSL está disponível nos repositórios das principais distribuições Linux, então, basta manter seu sistema atualizado.
Mas você também pode baixar o código-fonte do OpenSSL 3.0. Se você quiser fazer isso, faça o download do OpenSSL 3.0 aqui e informe sobre quaisquer problemas que você encontrar abrindo um problema na página do github.
OpenSSL 3.0 é uma versão principal, o que significa que a biblioteca ABI é alterada, exigindo a recompilação de todos os aplicativos dependentes e também há pequenas alterações de quebra de API.
Para a maioria dos aplicativos que precisam ser atualizados para funcionar com o 3.0, esperamos que uma simples recompilação seja suficiente. No entanto, é provável que os desenvolvedores de aplicativos notem novos avisos de depreciação ao compilar seus aplicativos.
Muitas das funções de API criptográficas de “baixo nível” foram descontinuadas em preferência às APIs “EVP” de nível mais alto. Para obter orientações detalhadas sobre como migrar aplicativos para funcionar com o OpenSSL 3.0, consulte o guia de migração.
