Rilasciata OpenSSL 3.4: Un Importante Aggiornamento per la Sicurezza delle Comunicazioni

OpenSSL

OpenSSL 3.4 è stata rilasciata come un significativo aggiornamento di questa libreria software open source, multi-piattaforma e libera, utilizzata per garantire comunicazioni sicure su reti di computer per applicazioni e siti web. Questo aggiornamento arriva più di 6 mesi dopo OpenSSL 3.3 e introduce numerose nuove funzionalità e miglioramenti. In alcuni casi è potenzialmente incompatibile con OpenSSL 3.3.

È importante non confondere OpenSSL con OpenSSH, sebbene entrambi siano fondamentali per la sicurezza informatica. OpenSSL è una libreria software che fornisce le basi per la crittografia e la gestione dei certificati digitali. È responsabile dell’implementazione dei protocolli SSL (Secure Sockets Layer) e TLS (Transport Layer Security), utilizzati per garantire comunicazioni sicure su internet.

D’altro canto, OpenSSH è uno strumento che utilizza la libreria OpenSSL per stabilire connessioni remote sicure tramite il protocollo SSH (Secure Shell). OpenSSH consente di amministrare server in remoto, trasferire file in modo sicuro e eseguire altre operazioni di amministrazione con un alto livello di sicurezza.

In sintesi, mentre OpenSSL fornisce le fondamenta crittografiche, OpenSSH sfrutta queste capacità per offrire soluzioni pratiche e sicure per la gestione remota e il trasferimento di dati.

Novità in OpenSSL 3.4

La versione OpenSSL 3.4 introduce la capacità di recuperare direttamente algoritmi di firma composita come RSA-SHA2-256, inclusi nuovi strumenti API (Application Programming Interface). Inoltre, offre il supporto degli indicatori FIPS (Federal Information Processing Standards) nel provider FIPS e l’implementazione di RFC 9579 (PBMAC1) in PKCS#12 (Public Key Cryptography Standards).

Un’altra nuova aggiunta è una sorgente opzionale di generazione di numeri casuali (RNG) basata su JITTER, che utilizza una libreria jitterentropy collegata staticamente. Inoltre, sono state aggiunte nuove opzioni -not_before e -not_after per l’impostazione esplicita delle date di inizio e fine dei certificati creati con le applicazioni req e x509. È stato introdotto anche il supporto per la richiesta di CRL (Certificate Revocation List) in CMP (Certificate Management Protocol).

Miglioramenti della Sicurezza

OpenSSL 3.4 include il supporto per le suite di cifratura con sola integrità TLS_SHA256_SHA256 e TLS_SHA384_SHA384 in TLS 1.3, come definito in RFC 9150. Viene introdotto anche il supporto per estensioni X.509v3 aggiuntive relative ai certificati di attributi e il supporto iniziale per i certificati di attributi (RFC 5755).

La nuova versione consente di personalizzare l’inizializzazione dei gruppi ECC (Elliptic Curve Cryptography) utilizzando valori precalcolati per risparmiare tempo di CPU. Questa funzionalità è supportata dall’implementazione P-256 e apporta vari aggiornamenti al provider FIPS, richiesti dalle future convalide FIPS 140-3.

Modifiche Incompatibili con le Versioni Precedenti

OpenSSL 3.4 introduce modifiche significative che potrebbero essere incompatibili con le versioni precedenti. Ad esempio, le funzioni TS_VERIFY_CTX_set_* sono state eliminate e sostituite con TS_VERIFY_CTX_set0_*, che offrono una semantica migliorata. Inoltre, le funzioni SSL_SESSION_get_time(), SSL_SESSION_set_time() e SSL_CTX_flush_sessions() sono state sostituite dalle rispettive funzioni con suffisso _ex. Questa modifica è stata implementata per garantire la compatibilità con il problema dell’anno 2038 (Y2038). In particolare, le nuove funzioni _ex sono progettate per essere sicure riguardo all’utilizzo del tipo di dati time_t, che è ora compatibile con le piattaforme che hanno adottato una gestione sicura dei timestamp oltre il 19 gennaio 2038, evitando problemi legati al limite temporale dei 32 bit.

L’implementazione dello scambio di chiavi X25519 e X448 nel provider FIPS non è più approvata e viene aggiunta la proprietà fips=no. È stata rimossa la lunghezza digest predefinita dalle implementazioni SHAKE-128 e SHAKE-256, il che significa che non possono più essere utilizzate con EVP_DigestFinal/_ex() a meno che il parametro xoflen non venga impostato in precedenza.

Altri Miglioramenti

OpenSSL 3.4 riprogetta l’uso delle cartelle di configurazione OPENSSLDIR, ENGINESDIR e MODULESDIR specificamente sui sistemi operativi Windows. Questo implica una revisione del modo in cui queste cartelle vengono utilizzate per caricare le configurazioni e i moduli necessari al funzionamento di OpenSSL, migliorando l’organizzazione e l’efficienza del software su tali piattaforme.

Inoltre, nei messaggi di saluto del client TLS (Transport Layer Security) per le connessioni con una versione minima di TLS 1.0, viene ora utilizzata un’estensione di rinegoziazione vuota invece di un SCSV (Signaling Cipher Suite Value) di rinegoziazione vuoto. Questa modifica garantisce una maggiore compatibilità e conformità agli standard di sicurezza attuali.

Gli utenti sono anche informati che, se viene impostata l’opzione config_diagnostics=1 nel file di configurazione, le funzioni SSL_CTX_new() e SSL_CTX_new_ex() restituiranno errori ogni volta che si verifica un problema nella configurazione del modulo SSL. Questo aiuta a identificare e risolvere prontamente eventuali configurazioni errate, migliorando la robustezza del sistema.

Per maggiori dettagli puoi leggere le note di rilascio.

Nel frattempo, puoi scaricare OpenSSL 3.4 subito dal sito Web ufficiale. Si raccomanda a tutti gli utenti, siti web e sistemi operativi di aggiornare a questa versione il prima possibile per beneficiare delle nuove funzionalità e miglioramenti della sicurezza.

Fonte: https://linuxiac.com/openssl-3-4-introduces-new-api-and-fips-updates/
Fonte: https://9to5linux.com/openssl-3-4-released-with-initial-attribute-certificate-rfc-5755-support

Visited 27 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.