После 5 месяцев активной разработки была выпущена новая версия библиотеки OpenSSL 3.3.0, включающую реализацию протоколов SSL/TLS и широкий спектр алгоритмов шифрования. Период поддержки OpenSSL 3.3 продлится до апреля 2026 года. В то же время, предыдущие версии OpenSSL — 3.2, 3.1 и 3.0 LTS — будут поддерживаться до ноября 2025 года, марта 2025 года и сентября 2026 года соответственно. Исходный код проекта доступен под лицензией Apache 2.0.
Основные инновации в обновлении OpenSSL 3.3.0 открывают новые горизонты в защите интернет-соединений. Релиз привносит множество изменений, направленных на повышение производительности и безопасности.
Новые возможности для работы с QUIC:
- Добавлена поддержка qlog, позволяющая отслеживать QUIC -соединения.
- Разработаны API для настройки времени простоя при использовании QUIC, а также для определения возможности создания дополнительных потоков.
- Введены API, деактивирующие неявную обработку событий QUIC и позволяющие опрашивать размер и использование буфера записи потока QUIC.
- Представлен SSL_write_ex2 для оптимизированной отправки условия окончания потока при использовании QUIC.
Улучшения алгоритмов и API:
- Реализована поддержка BLAKE2s с настраиваемой длиной вывода, аналогично BLAKE2b.
- Добавлены API для безопасной работы с временем на 32-битных системах после 2038 года и новые функции для работы с сертификатами, включая возможность создания и изменения.
- Расширены возможности функции EVP_PKEY_fromdata для вывода параметров CRT.
Оптимизации и безопасность:
- Применена оптимизация AES-GCM и улучшения для ARM Neoverse, а также активированы оптимизации для Apple Silicon M3.
- Добавлена ассемблерская реализация md5 для loongarch64 и векторные расширения RISC-V для различных криптографических функций.
- Установлены новые правила для конфигурации провайдеров и изменено поведение в ответ на HTTP-запросы для повышения устойчивости к ошибкам.
Исправления и безопасность:
- Исправлена проблема с неограниченным увеличением памяти при обработке сессий в TLSv1.3, обозначенная как CVE-2024-2511.
- Внесены изменения в обработку ASN1 времени и установлены новые ограничения на HTTP-ответы для предотвращения потенциальных уязвимостей.
Обновление несет в себе значительные улучшения для разработчиков и пользователей, укрепляя безопасность и расширяя возможности современных интернет-технологий. Пользователи и разработчики, заинтересованные в использовании новых функций, особенно QUIC, могут найти подробную информацию и примеры использования в соответствующей документации и рекомендациях.