經過兩年的努力,近日OpenSSL發佈了最新版本-OpenSSL1.1.1,並且是長期支持(LTS)版本,承諾至少支持使用五年時間。
OpenSSL 1.1.1發佈 正式支持TLS1.3
OpenSSL是一個巨大的團隊工作,自從OpenSSL 1.1.0發佈以來,已經有超過200個貢獻者提交了將近5000次修改建議。OpenSSL感謝貢獻者以及所有下載測試版本並提供反饋的各種用戶。這些統計數字說明了OpenSSL社區驚人的生命力和多樣性。
OpenSSL1.1.1的亮點新特性:TLVS1.3。這個新版本的傳輸層安全性(以前稱爲SSL)協議在一個月前由IETF發佈爲RFC8446。這是對標準的一次重大改寫,新特性及變化在OpenSSL的1.1.1版本中得到展現。
值得關注的是:OpenSSL 1.1.1是兼容OpenSSL 1.1.0的API和ABI的,因此大多數使用1.1.0的應用程序可以通過簡單地加入新的OpenSSL版本來獲得TLSv1.3的新特性。儘管如此,由於TLV1.3與TLV1.2的工作方式非常不同,少數應用程序可能會遭遇警告。
TLVS1.3新特性
●由於減少了客戶端和服務器之間所需的往返次數,縮短了連接時間
●在某些情況下,客戶端能夠立即開始將加密數據發送到服務器而無需與服務器進行任何往返(稱爲0-RTT或“早期數據”)。
●由於去除了各種過時和不安全的密碼算法和更多連接握手的加密,提高了安全性
OpenSSL 1.1.1版本中的其他功能包括:
完全重寫OpenSSL隨機數生成器以引入以下功能
●默認的RAND方法現在使用符合NIST標準SP 800-90Ar1的AES-CTR DRBG
●通過種子鏈支持多個DRBG實例
●有一個公共和私有DRBG實例
●DRBG實例是分叉安全的
●可啓用將所有全局DRBG實例保留在安全堆上
●公共和私有DRBG實例每線程鎖定自由操作
支持各種新的加密算法,包括:
●SHA3
●SHA512 / 224和SHA512 / 256
●EdDSA(包括Ed25519和Ed448)
●X448(添加到1.1.0中的現有X25519支持)
●多素數RSA
●SM2
●SM3
●SM4
●SipHash
●ARIA(包括TLS支持)
●顯著的側通道***安全性改進
●最大片段長度TLS擴展支持
●一個新的STORE模塊,它實現了一個基於統一和URI的存儲讀取器,可以包含密鑰,證書,CRL和許多其他對象。
此外,由於OpenSSL 1.1.0不是LTS版本,因此它將開始接收安全修復,並根據OpenSSL 之前的公告和此次發佈的策略。它將在一年內停止所有的支持(不再維護)。
之前的LTS版本(OpenSSL 1.0.2)將繼續獲得全面支持,直到今年年底。之後,它將只接受安全修復。它將在2019年底停止所有的支持。該版本的用戶強烈建議升級到OpenSSL 1.1.1。OpenSSL團隊現在將把注意力轉移到下一個版本,將開發一個新的FIPS模塊。