OpenSSL 3.3 发布：增强 QUIC 支持与高级 API 功能

OpenSSL 3.3 发布！带来了一系列新特性、优化和改进，旨在进一步提升 OpenSSL 的功能、安全和效率，进一步强化其作为安全通信领域核心技术库的地位。

OpenSSL 3.3 更新亮点

• QUIC 协议的进阶支持：OpenSSL 3.3 对现代传输层网络协议 QUIC 提供了全面支持。新增的亮点包括：支持 qlog 跟踪 QUIC 连接、管理 QUIC 连接空闲超时的 API、创建流以及禁用 QUIC 的隐式事件处理功能。
• 流处理与连接性能的优化：通过新引入的SSL_write_ex2 API，优化了 QUIC 流的结束信号处理，增加了查询 QUIC 流缓冲区大小和使用情况的功能。此外，该版本在非阻塞模式下增加了对 QUIC 连接和流对象的轮询功能，进一步提升了应用的响应速度。
• 密码学功能增强：OpenSSL 3.3 版本在密码学功能上也有所扩展。新的EVP_DigestSqueeze() API 支持 SHAKE 摘要算法的多种输出大小。BLAKE2s 哈希算法新增可配置的输出长度，与 BLAKE2b 的灵活性相匹配。EVP_PKEY_fromdata则增强了密钥派生功能，包括对中国剩余定理参数的支持。
• 简化构建与配置：在构建和配置方面，OpenSSL 3.3 版本新增了 CMake 导出功能。在 Unix 和 Windows 系统上的集成和部署过程更为简便。新增的 atexit 配置选项可管理库卸载时的OPENSSL_cleanup操作，同时，提供者激活和加载的设置也得到了改进。
• 安全性和协议的针对性优化：针对不同硬件平台，如 Microsoft Azure Cobalt 100、ARM Neoverse、Apple Silicon M3 和 RISC-V 架构在内的多种平台，进行了专门的优化，确保在各种环境下保持领先的性能和安全性。
• API 与功能的精细调整：OpenSSL 3.3 版本还引入了多项 API，用于会话时间管理、在 TLS 签名算法配置中忽略未知项，以及在多线程环境下更高效地管理 X509 证书。同时，还引入了对 HTTP 响应头的数量限制，进一步增强了客户端安全性。

兼容性与安全性提升

OpenSSL 3.3 在提升兼容性和安全性方面做出了显著的努力和改进：

• 新增了对输入字符串最小长度的检查功能，提高与 ITU-T 标准的一致性。
• 对配置设置的处理进行了优化。
• 引入了对响应头部数量的新限制，提升 HTTP 客户端的稳定性和安全性。
• 将 HMAC 操作中默认使用的哈希函数从 MD5 更新到了 SHA256。

错误修复与其它

该版本针对一些特定问题进行了修复，比如修正了BIO_get_new_index()函数的最大索引限制问题，确保了 OpenSSL 的稳定性和可靠性。对新的 QUIC 功能感兴趣的开发者和用户，可以参考 QUIC README 文件，提供了非常有用的文档。

更多详细信息，请访问 OpenSSL 3.3 更新日志。