在經歷兩年的修補改進後,OpenSSL於近日釋出了1.1.1版本並承諾至少投入5年的時間支援該版本。
OpenSSL的Matt Caswell在博文中感謝了對OpenSSL近5000次的優化的兩百多名志願者,以及所有下載測試版本並提供反饋的各種使用者。
OpenSSL1.1.1的一大亮點無疑是TLS1.3。這個在一個月前由IETF釋出為RFC8446的最新協議改寫了以往的舊標準,其包含全新的特性備受矚目並在OpenSSL的1.1.1版本中展現。
更重要的是,OpenSSL 1.1.1是個API,且ABI相容OpenSSL 1.1.0。所以大多數使用1.1.0的應用程式只需通過新的OpenSSL版本就可以獲得TLSv1.3的許多好處。儘管如此,由於TLSv1.3與TLSv1.2的工作方式非常不同,少數應用程式可能會遭遇警告。 有關更多詳細資訊,請參閱OpenSSL wiki上的TLSv1.3頁面。
文章還指出了OpenSSL 1.1.1中具體包含的新特性:
● 由於減少了客戶端和伺服器之間所需的往返次數,縮短了連線時間
● 在某些情況下,客戶端能夠立即開始將加密資料傳送到伺服器而無需與伺服器進行任何往返(稱為0-RTT或“早期資料”)。
● 由於刪除了各種過時和不安全的加密演算法以及更多連線握手的加密,提高了安全性
以及OpenSSL 1.1.1新增的:
● 完全重寫OpenSSL隨機數生成器以引入以下功能
△ 預設的RAND方法現在使用符合NIST標準SP 800-90Ar1的AES-CTR DRBG。
△ 通過種子鏈支援多個DRBG例項。
△ 有一個公共和私有DRBG例項。
△ DRBG例項是分叉安全的。
△ 可啟用將所有全域性DRBG例項保留在安全堆上。
△ 公共和私有DRBG例項每執行緒鎖定自由操作
● 支援各種新的加密演算法,包括:
△ SHA3
△ SHA512 / 224和SHA512 / 256
△ EdDSA(包括Ed25519和Ed448)
△ X448(新增到1.1.0中的現有X25519支援)
△ 多素數RSA
△ SM2
△ SM3
△ SM4
△ SipHash
△ ARIA(包括TLS支援)
● 顯著的側通道攻擊安全性改進
● 最大片段長度TLS擴充套件支援
●一個新的STORE模組,它實現了一個基於統一和URI的儲存讀取器,可以包含金鑰,證書,CRL和許多其他物件。
此外,由於OpenSSL 1.1.0不是LTS版本,因此根據OpenSSL之前的公告和此次釋出的策略,它將立即開始接收安全修復程式,並且將在一年內停止獲得所有支援(不再維護)。
之前的LTS版本(OpenSSL 1.0.2)將繼續獲得全面支援,直到今年年底。 之後它只會收到安全修復程式。 它將在2019年底停止接收所有支援。筆者強烈建議該版本的使用者升級到OpenSSL 1.1.1。
Matt Caswell還透露,下一個OpenSSL的重要功能將是新的FIPS模組。
離不開OpenSSL的你,是否已經躍躍欲試了呢?
【來自SSL中國】
