OpenSSL 3.0 is vrijgegeven

Versie 3.0 van OpenSSL is vrijgegeven na drie jaar ontwikkeling. Het ontwikkelteam heeft nogal wat wijzigingen aangebracht in de populaire SSL- en TLS-toolkit. Het is daarom niet volledig achterwaarts compatibel met eerdere releases.

OpenSSL 3.0.0 werd voorafgegaan door 17 alfa-releases, twee beta-releases en meer dan 7.500 commits en bijdragen van meer dan 350 ontwikkelaars, meldt Matt Caswell van het OpenSSL Project. Vergeleken met de vorige versie, OpenSSL 1.1.1, die in 2018 verscheen, is de beschikbare documentatie met 94 procent toegenomen en de hoeveelheid code met 54 procent, zegt hij.

Een van de veranderingen is dat OpenSSL nu wordt gedekt door een Apache-licentie v2 in plaats van zijn eigen OpenSSL- of SSLeay-licentie. Nieuw is het 'provider'-concept, waarbij gebruikers kunnen aangeven welke provider ze voor applicaties willen gebruiken en deze providers algoritme-implementaties zoals cryptografische modules beschikbaar stellen. Standaard zijn er vijf providers en een daarvan is voor de Amerikaanse overheidsstandaard FIPS of Federal Information Processing Standards. Derden kunnen ook providers beschikbaar stellen die kunnen inhaken op OpenSSL.

Het OpenSSL-team rapporteert alle wijzigingen die zijn aangebracht in een uitgebreide changelog. Omdat dit een belangrijke release is, moeten toepassingen met een oudere versie van OpenSSL opnieuw worden gecompileerd. Daarnaast kunnen er waarschuwingen worden getoond over verouderde API's. De meeste applicaties die met OpenSSL 1.1.1 werkten, zouden hoe dan ook ongewijzigd moeten werken met versie 3.0.0, hoewel er in sommige gevallen wijzigingen moeten worden aangebracht, volgens het OpenSSL-project.

Oorspronkelijk stond OpenSSL gepland voor release in 2019, maar de release werd meer dan eens uitgesteld .