OpenSSL 1.1.1 已发布,这是新的长期支持版本(LTS),开发团队承诺至少提供五年支持。自 1.1.0 发布以来,已有超过 200 位个人贡献者提交了近 5000 个 commits。OpenSSL 1.1.1 最重要的变化就是添加对 TLS v1.3 (RFC8446) 的支持。
TLS v1.3 的优势包括:
- 由于减少了客户端和服务器之间所需的往返次数,缩短了连接时间。
- 在某些情况下,客户端能够立即开始将加密数据发送到服务器而无需与服务器进行任何往返(称为 0-RTT 或“early data”)。
- 由于删除了各种过时和不安全的加密算法及握手加密,提高了安全性。
OpenSSL 1.1.1 其他亮点包括:
- 完全重写 OpenSSL 随机数生成器以引入以下功能:
- The default RAND method now utilizes an AES-CTR DRBG according to NIST standard SP 800-90Ar1.
- Support for multiple DRBG instances with seed chaining.
- There is a public and private DRBG instance.
- The DRBG instances are fork-safe.
- Keep all global DRBG instances on the secure heap if it is enabled.
- The public and private DRBG instance are per thread for lock free operation
- 支持各种新的加密算法,包括:
- SHA3
- SHA512/224 and SHA512/256
- EdDSA (including Ed25519 and Ed448)
- X448 (adding to the existing X25519 support in 1.1.0)
- Multi-prime RSA
- SM2
- SM3
- SM4
- SipHash
- ARIA (including TLS support)
- 旁路攻击安全性改进
- Maximum Fragment Length TLS 扩展支持
- 新增 STORE 模块,它实现了一个规格一致的基于 URI 的存储读取器,可包含密钥、证书、CRL 和许多其他对象。
更多细节可查阅发行说明:
下载地址:
文章末尾固定信息
继续阅读