Aggregatore GNU/Linux e dintorni

GNU/Linux for everyone and forever

Rilasciato OpenSSL 4.0: novità e miglioramenti

di · Pubblicato · Aggiornato

OpenSSL

OpenSSL è una delle librerie crittografiche più importanti e utilizzate al mondo nel panorama del software libero. Si tratta di un progetto open source nato nel 1998 con l’obiettivo di fornire strumenti affidabili per implementare i protocolli SSL, ovvero Secure Sockets Layer, e TLS, cioè Transport Layer Security. Questi protocolli rappresentano la base della sicurezza nelle comunicazioni su internet, perché permettono di cifrare i dati trasmessi e garantire l’autenticità delle parti coinvolte.

Nel corso degli anni OpenSSL è diventata uno standard di fatto per la crittografia in ambienti Unix-like, sistemi Windows e molte altre piattaforme. La libreria è distribuita con licenza Apache 2.0, una licenza permissiva che consente l’utilizzo del software sia in ambito personale che aziendale senza particolari restrizioni. La sua compatibilità con i principali sistemi operativi, tra cui GNU/Linux, macOS, Windows, BSD e Solaris, ha contribuito a renderla una soluzione estremamente versatile e affidabile per sviluppatori, amministratori di sistema e aziende che devono proteggere dati sensibili durante la trasmissione.

Il pubblico a cui OpenSSL si rivolge è molto ampio. Gli sviluppatori di software la utilizzano per integrare funzioni di cifratura e autenticazione nelle loro applicazioni. Gli amministratori di rete la impiegano per configurare server sicuri, gestire certificati digitali e garantire la protezione dei servizi esposti su internet. Le aziende e le organizzazioni la adottano come componente fondamentale per implementare protocolli di sicurezza robusti e affidabili. OpenSSL è infatti presente in server web, client di posta elettronica, applicazioni VPN e in numerosi strumenti che richiedono comunicazioni cifrate e autenticazione sicura.

Grazie alla sua diffusione, alla maturità del codice e alla continua manutenzione da parte della comunità, OpenSSL rimane una delle tecnologie più importanti per chiunque lavori con la sicurezza informatica, soprattutto nel mondo della distribuzione GNU/Linux, dove rappresenta un elemento essenziale dell’infrastruttura software.

La nuova versione OpenSSL 4.0 è stata rilasciata ieri 14 aprile 2026, mentre la versione stabile precedente OpenSSL 3.6 risale a ottobre 2025. Questa nuova versione introduce funzionalità avanzate e rimuove supporti obsoleti, con l’obiettivo di migliorare sicurezza, prestazioni e conformità agli standard più recenti.

Novità in OpenSSL 4.0

OpenSSL 4.0 rappresenta un aggiornamento significativo, con l’introduzione di funzionalità che rispondono alle esigenze moderne di sicurezza e crittografia. Tra le novità principali spicca il supporto per Encrypted Client Hello (ECH, RFC 9849), una funzionalità che consente di crittografare il messaggio iniziale del client durante la fase di handshake TLS. Questo nasconde il Server Name Indication (SNI), impedendo che il nome dell’host di destinazione venga esposto a terze parti, e sostituisce il precedente Encrypted Server Name Indication (ESNI). L’ECH è particolarmente utile per proteggere la privacy degli utenti, soprattutto in contesti in cui la riservatezza delle connessioni è fondamentale, come nel caso di reti pubbliche o ambienti con sorveglianza attiva.

Oltre all’ECH, OpenSSL 4.0 introduce il supporto per RFC 8998, che definisce nuovi algoritmi di firma digitale, tra cui l’algoritmo sm2sig_sm3 e il gruppo di scambio chiavi curveSM2. Questa versione include anche il supporto per il gruppo post-quantistico [tls-hybrid-sm2-mlkem] curveSM2MLKEM768, che rappresenta un passo avanti nella preparazione a scenari di crittografia resistente agli attacchi quantistici. Sono state aggiunte inoltre le funzioni cSHAKE (conforme allo standard SP 800-185) e il supporto per l’algoritmo di digest ML-DSA-MU, che ampliano le capacità crittografiche della libreria.

Un’altra novità rilevante è l’introduzione delle funzioni di derivazione delle chiavi per SNMP (Simple Network Management Protocol) e SRTP (Secure Real-time Transport Protocol). Queste funzioni sono fondamentali per la gestione sicura delle reti e per la protezione delle comunicazioni in tempo reale, come quelle utilizzate in applicazioni VoIP o videoconferenze. Inoltre, i test FIPS (Federal Information Processing Standards) possono ora essere differiti e eseguiti al momento opportuno durante l’installazione del modulo FIPS, tramite l’opzione -defer_tests del comando openssl fipsinstall.

OpenSSL 4.0 introduce anche il supporto per lo scambio di chiavi FFDHE (Finite Field Diffie-Hellman Ephemeral) in TLS 1.2, in conformità con lo standard RFC 7919. Questo miglioramento consente una maggiore flessibilità nella negoziazione delle chiavi, garantendo al contempo un livello di sicurezza elevato.

Modifiche e rimozioni significative

Oltre alle nuove funzionalità, OpenSSL 4.0 include diverse modifiche e rimozioni che potrebbero avere un impatto su applicazioni e script esistenti. Tra queste, spicca la rimozione del supporto per SSLv2 e SSLv3, protocolli considerati obsoleti e insicuri. SSLv3, in particolare, era già stato deprecato nel 2015 e disabilitato di default a partire dalla versione 1.1.0 di OpenSSL, rilasciata nel 2016. Questa decisione riflette l’impegno del progetto nel mantenere standard di sicurezza aggiornati e nel proteggere gli utenti da vulnerabilità note.

È stato inoltre rimosso il supporto per i motori (engines), un meccanismo che permetteva di estendere le funzionalità di OpenSSL tramite moduli esterni. Questa funzionalità, poco utilizzata e considerata complessa da mantenere, è stata eliminata per semplificare il codice e ridurre la superficie di attacco. Anche il supporto per curve ellittiche deprecate in TLS, secondo lo standard RFC 8422, è stato disabilitato di default in fase di compilazione. Per abilitare queste funzionalità, è necessario utilizzare opzioni di configurazione specifiche, come enable-tls-deprecated-ec o enable-ec_explicit_curves.

Altre modifiche includono la standardizzazione della larghezza dei dump esadecimali a 24 byte per le firme e 16 byte per gli altri dati, l’applicazione di controlli sui limiti inferiori quando si utilizza l’API PKCS5_PBKDF2_HMAC con il provider FIPS, e l’aggiunta di controlli aggiuntivi per la verifica delle CRL (Certificate Revocation List). Inoltre, la libreria libcrypto non pulisce più i dati allocati globalmente tramite la funzione atexit(), e la funzione OPENSSL_cleanup() ora viene eseguita in un distruttore globale o non viene eseguita affatto di default.

Sono state anche deprecate alcune funzioni, come X509_cmp_time(), X509_cmp_current_time() e X509_cmp_timeframe(), a favore della nuova funzione X509_check_certificate_times(). Questo cambiamento mira a semplificare e modernizzare l’API di OpenSSL, rendendola più coerente e facile da utilizzare.

Riferimenti e download

OpenSSL 4.0 è disponibile per il download direttamente dal repository software ufficiale su GitHub, dove è possibile trovare anche il changelog (registro delle modifiche) completo con tutte le novità, le correzioni di bug e le modifiche incompatibili rispetto alla versione precedente.

OpenSSL 4.0 non è una versione LTS (Long Term Support) e sarà supportata fino al 14 maggio 2027. La serie LTS attuale rimane OpenSSL 3.5. Le organizzazioni che richiedono supporto prolungato oltre i termini standard sono invitate a contattare la OpenSSL Corporation per opzioni di supporto premium. La prossima versione OpenSSL 4.1 è prevista per ottobre 2026.

Per ulteriori dettagli tecnici e per consultare la documentazione ufficiale, è possibile visitare il sito della OpenSSL Foundation e l’annuncio del rilascio sul blog ufficiale di OpenSSL.

Fonte: https://openssl-library.org/post/2026-04-14-openssl-40-final-release/
Fonte: https://github.com/openssl/openssl/releases/tag/openssl-4.0.0
Fonte: https://github.com/openssl/openssl/blob/openssl-4.0/CHANGES.md#openssl-40
Fonte: https://www.phoronix.com/news/OpenSSL-4.0-Released
Fonte: https://linuxiac.com/openssl-4-0-released-with-ech-support-and-significant-legacy-code-removal/
Fonte: https://9to5linux.com/openssl-4-0-released-with-support-for-encrypted-client-hello-snmp-kdf-and-more

Visited 26 times, 3 visit(s) today
Se vuoi sostenermi, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che ho nel mio sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul mio negozio online, quelle mancanti possono essere comunque richieste.

Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Tag:

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.