OpenSSL 4.0.0 wirft SSLv3 über Bord und bietet ECH

OpenSSL-Logo

OpenSSL-Logo

Die beliebte TLS- und Krypto-Bibliothek OpenSSL liegt in einer neuen Major-Version vor, die einige Altlasten wie SSLv3 entfernt und im Gegenzug bei den Kryptografieverfahren nachlegt. Neu ist unter anderem das Encrypted Client Hello (ECH).

Dieses im RFC9849 definierte Verfahren sichert die Verbindungsaufnahme (Handshake) besser ab. So können Lauscher mit ECH schwerer erkennen, welche Domain das System gerade ansteuert.

Zu den weiteren neuen Kryptografieverfahren und Algorithmen zählen die von SHA-3 abgeleitete Hashfunktion cSHAKE gemäß SP 800-185, der Digest-Algorithmus ML-DSA-MU, sowie die Schlüsselableitungsfunktionen (Key Derivation Functions, KDF) für die Protokolle SNMP und SRTP. Ebenfalls neu dabei ist der Signaturalgorithmus sm2sig_sm3, die Key Exchange Group curveSM2 und die Post Quantum Group curveSM2MLKEM768.

Den Handshake von Verbindungen via TLS 1.2 sichert das Verfahren gemäß RFC 7919 weiter ab. Dieser Standard kümmert sich um die Parameterwahl beim Schlüsselaustausch via Diffie-Hellmann-Verfahren (Finite Field Diffie-Hellman Ephemeral, FFDHE).

Endgültig ausgemustert hat das OpenSSL-Team SSLv3, das seit 2015 als veraltet (deprecated) galt und bereits seit 2016 standardmäßig deaktiviert war. OpenSSL 4.0.0 unterstützt zudem nicht mehr das SSLv2 Client-Hello-Verfahren. Auch die sogenannten Engines sind jetzt endgültig Geschichte – über sie konnten vor OpenSSL 3 unter anderem weitere Kryptomodule andocken.

Nicht mehr dabei sind feste SSL- beziehungsweise TLS-Versionsmethoden. Einige als veraltet geltende elliptische Kurven gemäß RFC8422-Standard haben die OpenSSL-Entwickler standardmäßig abgeschaltet. Wer sie noch benötigt, muss sie beim Kompiliervorgang explizit wieder anknipsen.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben