Rilasciata OpenSSL 3.3
La nuova versione della libreria fondamentale per le comunicazioni sicure, OpenSSL 3.3, arrivata 4 mesi e mezzo dopo OpenSSL 3.2, è stata rilasciata e introduce molte nuove funzionalità, ottimizzazioni e miglioramenti per aumentare l’operatività, la sicurezza e l’efficienza di OpenSSL.
OpenSSL è un’implementazione open source dei protocolli SSL (Secure Sockets Layer) e TLS (Transport Layer Security). Questi protocolli permettono di instaurare una comunicazione “sicura” tra la sorgente e la destinazione su una rete TPC/IP, tecnicamente una siffatta comunicazione viene detta di tipo “end-to-end”.
OpenSSL è disponibile per la maggior parte dei sistemi operativi unix-like, inclusi GNU/Linux e macOS, e anche per Microsoft Windows. Le librerie di base, scritte in linguaggio C, eseguono le funzioni crittografiche principali.
OpenSSL supporta diversi algoritmi crittografici, tra cui cifrari come Blowfish, Camellia, CAST, DES, RC2, RC4, RC5, IDEA, AES; funzioni hash crittografiche come MD5, MD2, SHA, MDC-2; crittografia a chiave pubblica come RSA, DSA, Scambio di chiavi Diffie-Hellman; e funzioni di Autenticazione dei messaggi come HMAC, MD2, MD4, MD5, MDC2, RIPEMD, SHA.
Inoltre, OpenSSL può essere utilizzato per generare dei certificati “self-signed”. Questi certificati sono utilizzati per stabilire connessioni sicure su Internet, come quelle utilizzate per le transazioni finanziarie o per l’accesso a siti web protetti.
Cosa c’è di nuovo in OpenSSL 3.3
- Supporto avanzato del protocollo QUIC: OpenSSL 3.3 supporta QUIC, un moderno protocollo di rete a livello di trasporto. Le aggiunte degne di nota includono il supporto qlog per tracciare le connessioni QUIC, le API per la gestione dei timeout di inattività delle connessioni QUIC, la creazione di flussi e la disabilitazione dell’elaborazione implicita degli eventi QUIC.
- Gestione del flusso e connettività migliorate: l’introduzione dell’API
SSL_write_ex2
consente la segnalazione di fine flusso ottimizzata all’interno di QUIC, integrando la nuova capacità di interrogare le dimensioni e l’utilizzo del buffer del flusso QUIC. Questa versione consente inoltre il polling limitato della connessione QUIC e degli oggetti di streaming in modalità non bloccanti, migliorando ulteriormente la reattività dell’applicazione. - Miglioramenti alla crittografia: OpenSSL 3.3 espande le sue capacità crittografiche con diverse funzionalità degne di nota. La nuova API EVP_DigestSqueeze() supporta diverse dimensioni di output per gli algoritmi digest SHAKE. Inoltre, l’algoritmo di hashing di BLAKE2 ora supporta lunghezze di output configurabili, rispecchiando la flessibilità di BLAKE2b. Inoltre, EVP_PKEY_fromdata migliora le funzionalità di derivazione chiave, incluso il supporto per i parametri del Teorema del Resto Cinese.
- Miglioramenti alla creazione e alla configurazione: questa versione introduce un esportatore per CMake sia su Unix che su Windows, facilitando l’integrazione e la distribuzione più semplici. Aggiunge inoltre un nuovo interruttore di configurazione atexit per la gestione di OPENSSL_cleanup allo scaricamento della libreria, insieme a miglioramenti nell’attivazione del provider e nelle impostazioni di caricamento.
- Ottimizzazioni di sicurezza e protocollo: OpenSSL 3.3 include una serie di ottimizzazioni rivolte a varie piattaforme, tra cui Microsoft Azure Cobalt 100, ARM Neoverse, Apple Silicon M3 e architetture RISC-V. Queste ottimizzazioni garantiscono che OpenSSL rimanga all’avanguardia in termini di prestazioni e sicurezza in diversi ambienti hardware.
- Perfezionamenti di API e funzionalità: tra la miriade di miglioramenti, questa versione offre nuove API per la gestione del tempo di sessione, ignorando le voci sconosciute nelle configurazioni degli algoritmi di firma TLS e gestendo i certificati X509 in modo più efficace in scenari multi-thread. Inoltre, introduce un limite alle intestazioni di risposta HTTP per migliorare la sicurezza del client.
Affrontare la compatibilità e la sicurezza
OpenSSL 3.3 risolve anche potenziali problemi di compatibilità e problemi di sicurezza. Introduce controlli per la lunghezza minima delle stringhe di input secondo gli standard ITU-T, regola la gestione delle impostazioni di configurazione e imposta nuovi limiti per le intestazioni del client HTTP. Inoltre, migra la funzione hash predefinita da MD5 a SHA256 per le operazioni HMAC.
Correzioni di bug e oltre
Questa versione affronta bug specifici, come la limitazione del limite superiore della funzione BIO_get_new_index()
, garantendo che OpenSSL rimanga affidabile e robusto. Per gli sviluppatori e gli utenti interessati a sfruttare le nuove funzionalità QUIC, il team OpenSSL incoraggia a leggere il file QUIC README, che offre preziosa documentazione e codice di esempio.
L’elenco dettagliato di tutte le modifiche in OpenSSL 3.3 può essere trovato nel registro delle modifiche del progetto.
Fonte: https://github.com/openssl/openssl/blob/openssl-3.3.0/NEWS.md#openssl-33
Fonte: https://9to5linux.com/openssl-3-3-released-with-support-for-qlog-for-tracing-quic-connections
Fonte: https://linuxiac.com/openssl-3-3-0-released/
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Una risposta
[…] 1.85.0/ICU 75.1, Ruby 3.3.5, Perl 5.38, kernel Linux 6.10.11, Systemd 253.25, ZFS 2.2.6, KMod 33, OpenSSL 3.3, FFMPEG 6.1, OpenJDK 17 e Mesa […]