OpenSSLプロジェクトは、その内部アーキテクチャと対応技術のレパートリーの両方を根本的に変形させる重要なアップデートを実施しました。バージョン4.0.0は、洗練された新しい機能を導入するだけでなく、レガシー互換性のためだけに長く保持されていた古いメカニズムを綿密に削除しています。
開発者は、暗号化ライブラリのセキュリティと現代的な関連性を高めることに努力を集中させています。このバージョンでは、2015年以来時代遅れと見なされているプロトコルSSLv3のサポートが完全に削除されます。さらに、SSLv2クライアントハローとサードパーティの暗号モジュールを統合するために使用されていた従来の「エンジン」のサポートは廃止されています。同時に、TLSの複数の古い楕円曲線が無効化されています。これらの復元には、特定の非標準パラメータでの手動コンパイルが必要になります。
アプリケーションプログラミングインターフェース(API)も同様に大幅な改訂を受けています。特にX.509証明書の処理に関連する多くの関数は、const修飾子の追加により洗練されたシグネチャを受け取りました。従来の機能スイートの一部は、モダンな代替案を支持して廃止されています。ASN1_STRINGなどの特定の内部構造は、外部アクセスに対して完全に不透明にされています。さらに、開発者はグローバルデータクリーンアップメカニズムを改め、ライブラリはatexitに依存しなくなり、代わりにより慎重なアプローチを採用するか、デフォルトクリーンアップを完全に避けています。
セキュリティ監査も強化されています。FIPSプロバイダーと組み合わせてPKCS5_PBKDF2_HMACを使用する場合、厳格なパラメータコントロールが義務付けられています。証明書と失効リスト処理のための追加検証レイヤーが導入されており、厳密なX.509モード内の鍵識別子検証の実装と並行して行われています。
同時に、OpenSSL 4.0.0は暗号化技術の最前線を受け入れています。ライブラリは、機密のTLS接続データを監視者から隠すEncrypted ClientHelloと、中国のSM2およびSM3標準に合わせたアルゴリズムを統合するようになりました。curveSM2MLKEM768などのハイブリッドグループを含む、耐量子暗号の要素も登場しています。さらに、このリリースはcSHAKE関数、新興のハッシングおよび鍵生成アルゴリズム、ならびにTLS 1.2内のFFDHE鍵交換のサポートを実装しています。
ユーティリティスイートも改善から逃れていません。廃止されたc_rehashスクリプトは、統合されたopenssl rehashコマンドに置き換わりました。BIO_f_reliableなどのめったに使用されない異常なコンポーネントは、直接的な代替なしに削除されています。
結果として、OpenSSL 4.0.0は、現代的な暗号化標準を指向する著しくより厳密なフレームワークとして登場します。この新しいバージョンへの移行により、開発者は改訂されたAPIに適応し、廃止された関数を放棄することが求められます。しかし、その代わりに、著しくより堅牢で現代的な暗号化基盤を提供します。
