4 月 15 日消息,OpenSSL 4.0 昨日(4 月 14 日)正式发布,该开源项目已向现代化安全架构迈出关键一步,新版聚焦于隐私保护增强、后量子密码学支持以及清理遗留技术三大核心方向。
在隐私保护方面,OpenSSL 4.0 引入支持 Encrypted Client Hello(加密客户端问候),通过加密初始 TLS 握手过程,有效隐藏 Server Name Indication(服务器名称指示),防止第三方监听者获取用户访问的具体域名信息。
ECH 是指加密客户端问候协议,用于加密 TLS 握手中的初始 Client Hello 消息。在传统 TLS 连接中,服务器名称指示以明文传输,导致第三方可窥探用户访问的域名。ECH 通过加密这一关键字段,有效防止了网络监听者的域名隐私泄露,显著提升了用户上网隐私保护水平。
针对未来安全挑战,新版本大幅改进支持后量子密码学,实现支持 RFC 8998 标准,并引入 ML-DSA-MU 与 tls-hybrid-sm2-mlkem 后量子组,从而更好应对量子计算发展可能带来的加密破解风险。
RFC 8998 是一项由中国推动的国际标准,定义了商密算法在 TLS 1.3 协议中的应用规范。该标准允许在 TLS 握手中使用 SM2、SM3、SM4 等国密算法,为需要符合国内密码法规的场景提供了标准化实现路径。
OpenSSL 4.0 还清理了多项遗留技术,包括移除了 SSLv3 及其他旧协议支持,删除了 SSLv2 Client Hello 与引擎机制。新版还精简编译目标平台,移除支持 Darwin i386 及 PowerPC / PPC64 架构,促使开发者迁移至更现代的技术栈。
OpenSSL 是一个开源的、工业级的密码学安全函数库,广泛用于实现网络通信中的 SSL / TLS 协议(如 HTTPS),并提供丰富的加密算法(如 RSA、AES)和密钥 / 证书管理工具。
它是现代互联网安全通信(如网站加密、VPN)的基石,主要功能包括生成私钥、创建证书签名请求(CSR)、配置 CA 和证书校验。
附上参考地址
OpenSSL 4.0.0
