OpenSSL 1.1.1發(fā)布 正式支持TLS1.3

在經(jīng)歷兩年的修補改進后，OpenSSL于近日發(fā)布了1.1.1版本并承諾至少投入5年的時間支持該版本。

OpenSSL的Matt Caswell在博文中感謝了對OpenSSL近5000次的優(yōu)化的兩百多名志愿者，以及所有下載測試版本并提供反饋的各種用戶。

OpenSSL1.1.1的一大亮點無疑是TLS1.3。這個在一個月前由IETF發(fā)布為RFC8446的最新協(xié)議改寫了以往的舊標準，其包含全新的特性備受矚目并在OpenSSL的1.1.1版本中展現(xiàn)。

更重要的是，OpenSSL 1.1.1是個API，且ABI兼容OpenSSL 1.1.0。所以大多數(shù)使用1.1.0的應用程序只需通過新的OpenSSL版本就可以獲得TLSv1.3的許多好處。盡管如此，由于TLSv1.3與TLSv1.2的工作方式非常不同，少數(shù)應用程序可能會遭遇警告。 有關(guān)更多詳細信息，請參閱OpenSSL wiki上的TLSv1.3頁面。

文章還指出了OpenSSL 1.1.1中具體包含的新特性：

● 由于減少了客戶端和服務器之間所需的往返次數(shù)，縮短了連接時間

● 在某些情況下，客戶端能夠立即開始將加密數(shù)據(jù)發(fā)送到服務器而無需與服務器進行任何往返（稱為0-RTT或“早期數(shù)據(jù)”）。
●由于刪除了各種過時和不安全的加密算法以及更多連接握手的加密，提高了安全性

以及OpenSSL 1.1.1新增的：

● 完全重寫OpenSSL隨機數(shù)生成器以引入以下功能
△ 默認的RAND方法現(xiàn)在使用符合NIST標準SP 800-90Ar1的AES-CTR DRBG。
△ 通過種子鏈支持多個DRBG實例。
△ 有一個公共和私有DRBG實例。
△ DRBG實例是分叉安全的。
△ 可啟用將所有全局DRBG實例保留在安全堆上。
△ 公共和私有DRBG實例每線程鎖定自由操作

● 支持各種新的加密算法，包括：

△ SHA3
△ SHA512 / 224和SHA512 / 256
△ EdDSA（包括Ed25519和Ed448）
△ X448（添加到1.1.0中的現(xiàn)有X25519支持）
△ 多素數(shù)RSA
△ SM2
△ SM3
△ SM4
△ SipHash
△ ARIA（包括TLS支持）

● 顯著的側(cè)通道×××安全性改進
● 最大片段長度TLS擴展支持
● 一個新的STORE模塊，它實現(xiàn)了一個基于統(tǒng)一和URI的存儲讀取器，可以包含密鑰，證書，CRL和許多其他對象。

此外，由于OpenSSL 1.1.0不是LTS版本，因此根據(jù)OpenSSL之前的公告和此次發(fā)布的策略，它將立即開始接收安全修復程序，并且將在一年內(nèi)停止獲得所有支持（不再維護）。

之前的LTS版本（OpenSSL 1.0.2）將繼續(xù)獲得全面支持，直到今年年底。 之后它只會收到安全修復程序。 它將在2019年底停止接收所有支持。筆者強烈建議該版本的用戶升級到OpenSSL 1.1.1。

Matt Caswell還透露，下一個OpenSSL的重要功能將是新的FIPS模塊。

離不開OpenSSL的你，是否已經(jīng)躍躍欲試了呢？

【來自SSL中國】