OpenSSL 4.0.0 sürümü yayımlandı

 (github.com/openssl)
5 puan yazan GN⁺ 15 일 전 | 2 yorum | WhatsApp'ta paylaş
  • Çok sayıda yeni özellik ve geriye dönük uyumsuz değişiklik içeren büyük bir sürüm
  • ECH (Encrypted Client Hello, RFC 9849) desteği yerleşik olarak sunuluyor; böylece TLS istemci gizliliğini korumak için ayrı bir uygulamaya gerek kalmıyor
  • SSLv2 Client Hello ile SSLv3 ve engine kodu tamamen kaldırıldı; böylece eski protokollerle kesin kopuş sağlandı
  • RFC 8998 tabanlı SM2 imzası (sm2sig_sm3), anahtar değişimi (curveSM2) ve post-kuantum grubu curveSM2MLKEM768 desteği eklendi
  • cSHAKE (SP 800-185), ML-DSA-MU digest, SNMP KDF, SRTP KDF gibi yeni kriptografik özellikler eklendi
  • TLS 1.2'de RFC 7919 tabanlı FFDHE anahtar değişimi müzakeresi desteği
  • FIPS modülü kurulurken -defer_tests seçeneğiyle FIPS öz testleri gecikmeli çalıştırılabiliyor
  • Çok sayıda API işlev imzasına const belirteci eklendi, ASN1_STRING opaklaştırılması gibi API modernizasyonları yapıldı
  • X509_cmp_time() gibi deprecated işlevlerin X509_check_certificate_times() ile değiştirilmesi öneriliyor
  • PKCS5_PBKDF2_HMAC için FIPS provider kullanıldığında alt sınır değeri denetimi zorunlu kılındı, CRL doğrulamasına ek kontrol maddeleri eklendi
  • Deprecated edilen özel EVP_CIPHER, EVP_MD, EVP_PKEY metodları, sabit SSL/TLS sürüm işlevleri, c_rehash betiği, BIO_f_reliable() gibi eski özelliklerde kapsamlı temizlik yapıldı
  • darwin-i386, darwin-ppc gibi eski Apple derleme hedefleri kaldırıldı
  • Windows'ta statik/dinamik VC çalışma zamanı bağlama seçimi desteği eklendi
  • Bu sürüm, OpenSSL'in güvenlik ve standart uyumluluğunu güçlendirmede bir dönüm noktası niteliğinde

İlgili okumalar

2 yorum

 
kaydash 12 일 전

1.1.1 kullandığımız zaman sanki dün gibiydi
 
GN⁺ 15 일 전
Hacker News görüşleri

  • Nihayet Encrypted Client Hello(ECH) desteğinin eklenmiş olmasından duyulan memnuniyet ifade ediliyor

    • Bunun hemen şimdi etkinleştirilebilen bir özellik olup olmadığı, yoksa tarayıcı ve sunucu desteği gelene kadar yine uzun zaman gerekip gerekmeyeceği merak ediliyor
    • Ayrıca QUIC de birlikte anılıyor
    • Ancak çoğu ağda bu tür trafiğin engellenme olasılığının yüksek olduğu konusunda uyarı yapılıyor

  • HAProxy blogundaki SSL yığınlarının durumu yazısı alıntılanarak artık v3 kullanılmaması gerektiği vurgulanıyor

    • OpenSSL'in ancak geçen yıl geliştiricilerin QUIC'i doğrudan kendilerinin uygulayabilmesi için API sunmaya başlaması olumlu değerlendiriliyor
      Eskiden OpenSSL kullanıldığında QUIC uygulamasının da zorunlu olarak OpenSSL'in kendi yığınını kullanması gerekiyordu
      QUIC, UDP üzerinde TCP işlevlerini yeniden uygulayan bir protokol ve HTTP/3'ün temeli durumunda
      Ancak OpenSSL'in QUIC uygulaması beğenilmese bile başka seçenek bulunmuyordu
      Örneğin curl OpenSSL'e bağlıysa, curl de otomatik olarak OpenSSL'in QUIC'ini kullanmak zorundaydı
      Bu konuda curl'ün Daniel Stenberg'inin eleştirel bir blog yazısı yazdığı belirtiliyor

  • OpenSSL'in mevcut durumunu soran bir yorumda, geçmişteki Heartbleed olayı sonrasında güvenlik tarafında büyük iyileşme olduğu belirtiliyor

    • Heartbleed'den sonra OpenSSL'in güvenlik yönetim yapısı güçlendirildi ve bugün internette en yoğun araştırılan güvenlik hedeflerinden biri haline geldi
      Ancak yazılım kalitesi açısından ise geriye gittiği yönünde çok sayıda değerlendirme olduğu söyleniyor
      OpenSSL 3.0 tasarımının performans açısından geri adım olduğu, pyca/cryptography gibi önemli projelerin OpenSSL'i değiştirmeye yönelik hareketler gösterdiği ifade ediliyor
    • Başka bir kullanıcı ise OpenSSL 3'ü performans, karmaşıklık ve geliştirici deneyimi açısından büyük bir hayal kırıklığı olarak nitelendiriyor
      OpenSSL 3'ün temel işlemleri 1.1.1'e göre çok daha yavaş ve HAProxy'nin SSL yığını analiz yazısı ile Python cryptography ekibinin açıklaması kaynak gösteriliyor
      OpenSSL 3'ün birçok öğeyi dinamik hale getirirken lock kullanımını aşırı artırdığı, API'nin de OSSL_PARAM yaklaşımına dönüştürülmesiyle performans kaybı ve kod karmaşıklığı yarattığı açıklanıyor

  • OpenSSL 3 ile karşılaştırıldığında bu geçişin oldukça sorunsuz ilerlediği belirtiliyor
    Fedora'da “Engines” kaldırılması dışında büyük sorun yaşanmadan çoğu bağımlılık düzeltilmiş

  • Manuel opt-out sürecinin giderek daha büyük bir sürtünme unsuru haline geldiğine dikkat çekiliyor
    Topluluk tepkisi olmadan varsayılan ayarların iyileşmemesinin eleştirildiği ve güvenin inşa edilmesinin zor, kaybedilmesinin kolay olduğu vurgulanıyor

  • Bunun “suckerpinch video” zamanlamasına denk getirilmiş bir sürüm gibi göründüğüne dair şakalı bir tepki veriliyor

  • Uzman olmayan birinin bakış açısından, bu değişikliğin oldukça temiz bir toparlama gibi göründüğü ancak uyumluluk kırılmalarının her zaman yük getirdiği söyleniyor
    OpenSSL 3.x'in pek de sevilmediğine dair anımsama yapılıyor

    • Buna karşılık bunun zaten sürüm 4 olduğu esprili şekilde söyleniyor

  • Büyük sürüm yükseltmesi olduğu için yavaşlayabileceği endişesi dile getiriliyor, ancak gerçek kıyaslamalarda ortalama yalnızca yaklaşık %10 performans düşüşü görüldüğü belirtiliyor
    İnternet ortamının bütünü düşünüldüğünde bunun büyük bir sorun olmadığı da ekleniyor

  • Kodda const kullanımının artmış olması memnuniyetle karşılanıyor
    Gömülü ortamlarda çoğu zaman const'u elle eklemek gerektiği, artık bunun varsayılan hale gelmesi yönündeki yaklaşımın beğenildiği söyleniyor

  • Son olarak, Linux dağıtımı paket yöneticilerinin çığlıklarını hayal eden bir şaka yapılıyor