OpenSSL 3.3 Lanzado con Soporte para QLog para el Seguimiento de Conexiones QUIC

Published:

OpenSSL 3.3 ha sido lanzado hoy como una actualización importante de esta poderosa biblioteca de software de código abierto, multiplataforma y gratuita que proporciona comunicaciones seguras a través de redes informáticas para aplicaciones y sitios web.

Llegando cuatro meses y medio después de OpenSSL 3.2, el lanzamiento de OpenSSL 3.3 trae soporte para QLog para el seguimiento de conexiones QUIC, junto con soporte limitado para el sondeo de conexiones QUIC y objetos de flujo de datos en un modo no bloqueante, así como varias nuevas API para permitir la configuración de varios aspectos para conexiones utilizando el protocolo orientado a la conexión cifrada QUIC que opera en la Capa de Transporte, o Capa 4, en el modelo OSI.

Las nuevas API permiten a los usuarios configurar el tiempo de espera inactivo negociado para conexiones QUIC, determinar el número de flujos adicionales que se pueden crear actualmente para una conexión QUIC, desactivar el procesamiento implícito de eventos QUIC para objetos SSL QUIC, y consultar el tamaño y la utilización del búfer de escritura de un flujo QUIC.

OpenSSL 3.3 también viene con una nueva API SSL_write_ex2 para enviar una condición de fin de transmisión (FIN) de manera optimizada al utilizar QUIC, una nueva API EVP_DigestSqueeze() para permitir que SHAKE exprima múltiples veces con diferentes tamaños de salida, y nuevas funciones de API SSL_SESSION_get_time_ex() y SSL_SESSION_set_time_ex() que utilizan time_t, que es seguro para Y2038 en sistemas de 32 bits cuando se habilita el tiempo de 64 bits.

También se han agregado nuevas opciones -set_issuer y -set_subject al comando openssl x509 para permitir a los usuarios anular el «Emisor» y el «Asunto» al crear un certificado, y la antigua opción -subj es un alias de la nueva opción -set_subject.

Además, OpenSSL 3.3 introduce una nueva opción SSL_OP_PREFER_NO_DHE_KEX para permitir a los usuarios configurar un servidor TLS1.3 para que prefiera la reanudación de sesión utilizando un intercambio de claves PSK único sobre PSK con DHE, cuando ambos están disponibles, así como una nueva API X509_STORE_get1_objects para evitar problemas con la API X509_STORE_get0_objects existente en aplicaciones multiproceso.

Aparte de eso, el algoritmo hash BLAKE2s ha sido actualizado en esta versión para que coincida con el soporte de BLAKE2b para la longitud de salida configurable, la función EVP_PKEY_fromdata ha sido aumentada para permitir la derivación de parámetros CRT (Teorema del Resto Chino) cuando se solicita, y se ha agregado un nuevo interruptor de configuración atexit para controlar si se registra OPENSSL_cleanup cuando se descarga libcrypto.

Varias características nuevas de CMPv3 definidas en RFC 9480 y RFC 9483 también se han agregado en OpenSSL 3.3, que se envía con un exportador para CMake en sistemas Unix y Windows junto con el exportador pkg-config, así como soporte para ignorar entradas desconocidas en las opciones de configuración TLS SignatureAlgorithms y ClientSignatureAlgorithms y las llamadas respectivas a SSL[_CTX]_set1_sigalgs() y SSL[_CTX]_set1_client_sigalgs() que comienzan con el carácter ?.

Para más detalles, consulta las notas de la versión. Mientras tanto, puedes descargar OpenSSL 3.3 ahora mismo desde el sitio web oficial. Se recomienda a todos los usuarios, sitios web y sistemas operativos que actualicen a esta versión lo antes posible.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles