OpenSSL 3.3.0: безопасность интернет-соединений и расширенные API

После 5 месяцев активной разработки была выпущена новая версия библиотеки OpenSSL 3.3.0, включающую реализацию протоколов SSL/TLS и широкий спектр алгоритмов шифрования. Период поддержки OpenSSL 3.3 продлится до апреля 2026 года. В то же время, предыдущие версии OpenSSL — 3.2, 3.1 и 3.0 LTS — будут поддерживаться до ноября 2025 года, марта 2025 года и сентября 2026 года соответственно. Исходный код проекта доступен под лицензией Apache 2.0.

Основные инновации в обновлении OpenSSL 3.3.0 открывают новые горизонты в защите интернет-соединений. Релиз привносит множество изменений, направленных на повышение производительности и безопасности.

Новые возможности для работы с QUIC:

• Добавлена поддержка qlog, позволяющая отслеживать QUIC-соединения.
• Разработаны API для настройки времени простоя при использовании QUIC, а также для определения возможности создания дополнительных потоков.
• Введены API, деактивирующие неявную обработку событий QUIC и позволяющие опрашивать размер и использование буфера записи потока QUIC.
• Представлен SSL_write_ex2 для оптимизированной отправки условия окончания потока при использовании QUIC.

Улучшения алгоритмов и API:

• Реализована поддержка BLAKE2s с настраиваемой длиной вывода, аналогично BLAKE2b.
• Добавлены API для безопасной работы с временем на 32-битных системах после 2038 года и новые функции для работы с сертификатами, включая возможность создания и изменения.
• Расширены возможности функции EVP_PKEY_fromdata для вывода параметров CRT.

Оптимизации и безопасность:

• Применена оптимизация AES-GCM и улучшения для ARM Neoverse, а также активированы оптимизации для Apple Silicon M3.
• Добавлена ассемблерская реализация md5 для loongarch64 и векторные расширения RISC-V для различных криптографических функций.
• Установлены новые правила для конфигурации провайдеров и изменено поведение в ответ на HTTP-запросы для повышения устойчивости к ошибкам.

Исправления и безопасность:

• Исправлена проблема с неограниченным увеличением памяти при обработке сессий в TLSv1.3, обозначенная как CVE-2024-2511.
• Внесены изменения в обработку ASN1 времени и установлены новые ограничения на HTTP-ответы для предотвращения потенциальных уязвимостей.

Обновление несет в себе значительные улучшения для разработчиков и пользователей, укрепляя безопасность и расширяя возможности современных интернет-технологий. Пользователи и разработчики, заинтересованные в использовании новых функций, особенно QUIC, могут найти подробную информацию и примеры использования в соответствующей документации и рекомендациях.