OpenSSL lanceert na drie jaar nieuwe major release: OpenSSL 3.0.0

[Captain Kirk]

Het OpenSSL-team heeft na drie jaar een nieuwe major release uitgebracht, namelijk OpenSSL 3.0.0. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt.

De vorige major release was OpenSSL 1.1.1 die op 11 september 2018 verscheen. In OpenSSL 3.0.0 is een groot aantal verbeteringen en aanpassingen doorgevoerd. Omdat het hier om een major release gaat zal elke applicatie die op dit moment een oudere OpenSSL-versie gebruikt op z'n minst opnieuw moeten worden gecompileerd om met de nieuwe versie te werken.

Volgens de ontwikkelaars zullen de meeste applicaties gewoon met OpenSSL 3.0.0 overweg kunnen als deze applicaties eerder met OpenSSL 1.1.1 werkten. Het kan echter zijn dat er aanpassingen moeten worden doorgevoerd om bijvoorbeeld van de nieuwe features gebruik te kunnen maken, zoals de nu beschikbare FIPS-module.

Providers

Eén van de belangrijkste veranderingen is de introductie van een nieuw concept genaamd "providers". Providers zorgen ervoor dat implementaties van algoritmes beschikbaar zijn. Met OpenSSL 3.0.0 is het mogelijk om aan te geven welke providers er voor een applicatie moet worden gebruikt. Standaard biedt OpenSSL 3.0.0 vijf verschillende providers, waaronder FIPS. FIPS staat voor Federal Information Processing Standard (FIPS) en is een Amerikaanse standaard voor het goedkeuren van cryptografische modules.

Een andere aanpassing betreft de beschikbare programmeerinterfaces. OpenSSL bood altijd twee soorten API's voor het aanroepen van cryptografische algoritmes. Het ging om "high" en een "low" level API's. Het gebruik van low level API's werd al informeel afgeraden door het OpenSSL-ontwikkelteam. In OpenSSL 3.0.0 zijn alle low level API's nu afgeschreven. Applicatieontwikkelaars kunnen de API's nog wel binnen hun applicatie gebruiken, maar zullen tijdens het compileren een waarschuwing kunnen krijgen. Daarnaast kunnen de API's uit toekomstige OpenSSL-versies verdwijnen.

Voor vorige versies van OpenSSL waren er twee licenties van toepassing, namelijk de OpenSSL- en SSLeay-licenties. Die zijn voor OpenSSL 3.0.0 vervangen door de Apache v2-licentie.

 

bron: https://www.security.nl