OpenSSL 3.3 发布!带来了一系列新特性、优化和改进,旨在进一步提升 OpenSSL 的功能、安全和效率,进一步强化其作为安全通信领域核心技术库的地位。
OpenSSL 3.3 更新亮点
- QUIC 协议的进阶支持:OpenSSL 3.3 对现代传输层网络协议 QUIC 提供了全面支持。新增的亮点包括:支持 qlog 跟踪 QUIC 连接、管理 QUIC 连接空闲超时的 API、创建流以及禁用 QUIC 的隐式事件处理功能。
- 流处理与连接性能的优化:通过新引入的
SSL_write_ex2
API,优化了 QUIC 流的结束信号处理,增加了查询 QUIC 流缓冲区大小和使用情况的功能。此外,该版本在非阻塞模式下增加了对 QUIC 连接和流对象的轮询功能,进一步提升了应用的响应速度。 - 密码学功能增强:OpenSSL 3.3 版本在密码学功能上也有所扩展。新的
EVP_DigestSqueeze()
API 支持 SHAKE 摘要算法的多种输出大小。BLAKE2s 哈希算法新增可配置的输出长度,与 BLAKE2b 的灵活性相匹配。EVP_PKEY_fromdata
则增强了密钥派生功能,包括对中国剩余定理参数的支持。 - 简化构建与配置:在构建和配置方面,OpenSSL 3.3 版本新增了 CMake 导出功能。在 Unix 和 Windows 系统上的集成和部署过程更为简便。新增的 atexit 配置选项可管理库卸载时的
OPENSSL_cleanup
操作,同时,提供者激活和加载的设置也得到了改进。 - 安全性和协议的针对性优化:针对不同硬件平台,如 Microsoft Azure Cobalt 100、ARM Neoverse、Apple Silicon M3 和 RISC-V 架构在内的多种平台,进行了专门的优化,确保在各种环境下保持领先的性能和安全性。
- API 与功能的精细调整:OpenSSL 3.3 版本还引入了多项 API,用于会话时间管理、在 TLS 签名算法配置中忽略未知项,以及在多线程环境下更高效地管理 X509 证书。同时,还引入了对 HTTP 响应头的数量限制,进一步增强了客户端安全性。
兼容性与安全性提升
OpenSSL 3.3 在提升兼容性和安全性方面做出了显著的努力和改进:
- 新增了对输入字符串最小长度的检查功能,提高与 ITU-T 标准的一致性。
- 对配置设置的处理进行了优化。
- 引入了对响应头部数量的新限制,提升 HTTP 客户端的稳定性和安全性。
- 将 HMAC 操作中默认使用的哈希函数从 MD5 更新到了 SHA256。
错误修复与其它
该版本针对一些特定问题进行了修复,比如修正了BIO_get_new_index()
函数的最大索引限制问题,确保了 OpenSSL 的稳定性和可靠性。对新的 QUIC 功能感兴趣的开发者和用户,可以参考 QUIC README 文件,提供了非常有用的文档。
更多详细信息,请访问 OpenSSL 3.3 更新日志。
最新评论
Windows 11 安装好后,OOBE 时配置的帐户本身就在 Administrators 组,只有在「设置」中添加的默认才是普通帐户。
我建议前置条件优先更改为管理员模式。我次次重装系统都来看这个帖子,win11也变得逐步完善,以前行的方法现在也不一定适用。
很多系统设置普通帐户是没权限更改的。
目前无效,但一重启策略组就会自动复原。开启管理员账户重试后成功