OpenSSL 4.0.0 रिलीज़

 (github.com/openssl)
5 पॉइंट द्वारा GN⁺ 2026-04-16 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • कई नई सुविधाओं और असंगत बदलावों को शामिल करने वाला बड़ा रिलीज़
  • ECH(Encrypted Client Hello, RFC 9849) सपोर्ट बिल्ट-इन है, जिससे TLS क्लाइंट प्राइवेसी सुरक्षा के लिए अलग इम्प्लीमेंटेशन की ज़रूरत नहीं
  • SSLv2 Client Hello और SSLv3, engine कोड पूरी तरह हटा दिया गया है, जिससे legacy प्रोटोकॉल से अलगाव तय हो गया
  • RFC 8998 आधारित SM2 signature(sm2sig_sm3), key exchange(curveSM2), और post-quantum group curveSM2MLKEM768 सपोर्ट जोड़ा गया
  • cSHAKE(SP 800-185), ML-DSA-MU digest, SNMP KDF, SRTP KDF जैसी नई cryptographic सुविधाएँ जोड़ी गईं
  • TLS 1.2 में RFC 7919 आधारित FFDHE key exchange negotiation सपोर्ट
  • FIPS module इंस्टॉल करते समय -defer_tests विकल्प के साथ FIPS self-tests को बाद में चलाना संभव
  • कई API function signatures में const qualifier जोड़ा गया, ASN1_STRING को opaque बनाना जैसे API modernization बदलाव
  • X509_cmp_time() जैसी deprecated functions के बजाय X509_check_certificate_times() इस्तेमाल करने की सिफारिश
  • PKCS5_PBKDF2_HMAC के FIPS provider उपयोग पर minimum value checks को अनिवार्य किया गया, और CRL verification में अतिरिक्त checks जोड़े गए
  • deprecated custom EVP_CIPHER, EVP_MD, EVP_PKEY methods, fixed SSL/TLS version functions, c_rehash script, BIO_f_reliable() आदि सहित legacy सुविधाओं की बड़े पैमाने पर सफ़ाई
  • darwin-i386, darwin-ppc जैसे पुराने Apple build targets हटाए गए
  • Windows पर static/dynamic VC runtime linking चुनने का सपोर्ट
  • यह रिलीज़ OpenSSL की security और standards compatibility को मजबूत करने वाला एक महत्वपूर्ण मोड़ है

संबंधित पढ़ाई

2 टिप्पणियां

 
kaydash 2026-04-18

ऐसा लगता है जैसे 1.1.1 इस्तेमाल करने की बात तो बस कल की ही हो।
 
GN⁺ 2026-04-16
Hacker News की राय

  • आखिरकार Encrypted Client Hello(ECH) सपोर्ट जुड़ने पर खुशी जताई गई

    • यह जानने की उत्सुकता जताई गई कि क्या इसे अभी तुरंत सक्षम किया जा सकता है, या फिर ब्राउज़र और सर्वर के सपोर्ट तक पहुँचने में फिर काफी लंबा समय लगेगा
    • साथ ही QUIC का भी ज़िक्र किया गया
    • हालांकि यह चेतावनी भी दी गई कि ज़्यादातर नेटवर्क में ऐसे ट्रैफ़िक को ब्लॉक किए जाने की संभावना ज़्यादा है

  • HAProxy ब्लॉग की SSL स्टैक की स्थिति पर पोस्ट का हवाला देते हुए इस बात पर ज़ोर दिया गया कि अब v3 का उपयोग नहीं करना चाहिए

    • इस बात को सकारात्मक माना गया कि OpenSSL ने पिछले साल से ही डेवलपर्स को QUIC सीधे इम्प्लीमेंट करने के लिए API देना शुरू किया
      पहले OpenSSL का उपयोग करने पर QUIC implementation भी मजबूरन OpenSSL के अपने स्टैक का ही इस्तेमाल करती थी
      QUIC, UDP के ऊपर TCP की सुविधाओं को फिर से इम्प्लीमेंट करने वाला प्रोटोकॉल है और HTTP/3 की नींव है
      लेकिन OpenSSL की QUIC implementation पसंद न होने पर भी कोई दूसरा विकल्प नहीं था
      उदाहरण के लिए, अगर curl OpenSSL से linked है, तो curl को भी अपने-आप OpenSSL का QUIC इस्तेमाल करना पड़ता था
      इस पर curl के Daniel Stenberg ने एक आलोचनात्मक ब्लॉग पोस्ट लिखी थी, ऐसा बताया गया

  • OpenSSL की मौजूदा स्थिति पर पूछे गए सवाल के जवाब में कहा गया कि पुराने Heartbleed incident के बाद सुरक्षा के मामले में काफ़ी सुधार हुआ है

    • Heartbleed के बाद OpenSSL की security management व्यवस्था मज़बूत हुई, और अब यह इंटरनेट पर सबसे सक्रिय रूप से शोध किए जाने वाले security targets में से एक बन गया है
      लेकिन software quality के मामले में उल्टा गिरावट आई है, ऐसा कई लोगों का आकलन है
      OpenSSL 3.0 का डिज़ाइन performance के लिहाज़ से पीछे गया, और pyca/cryptography जैसे प्रमुख प्रोजेक्ट OpenSSL को replace करने की दिशा में बढ़ते दिख रहे हैं
    • एक अन्य उपयोगकर्ता ने OpenSSL 3 को performance, complexity और developer experience—तीनों में बहुत बड़ी निराशा बताया
      कहा गया कि OpenSSL 3 के core operations, 1.1.1 की तुलना में काफ़ी धीमे हैं, और HAProxy की SSL स्टैक विश्लेषण पोस्ट तथा Python cryptography टीम का बयान का हवाला दिया गया
      समझाया गया कि OpenSSL 3 ने कई चीज़ों को dynamic बना दिया, जिससे lock का बहुत ज़्यादा इस्तेमाल होने लगा, और API भी OSSL_PARAM स्टाइल में बदल गई, जिससे performance गिरा और code complexity बढ़ी

  • OpenSSL 3 की तुलना में इस बार का migration काफ़ी स्मूद रहा, ऐसा कहा गया
    Fedora में “Engines” हटाने के अलावा अधिकांश dependencies बिना किसी बड़े मुद्दे के ठीक कर दी गईं

  • यह इंगित किया गया कि मैनुअल opt-out प्रक्रिया धीरे-धीरे और बड़ा friction point बनती जा रही है
    इस वास्तविकता की आलोचना की गई कि community backlash होने पर ही defaults सुधरते हैं, और इस बात पर ज़ोर दिया गया कि भरोसा बनाना कठिन और खोना आसान होता है

  • मज़ाकिया अंदाज़ में कहा गया कि शायद यह रिलीज़ “suckerpinch video” के timing से मेल बिठाकर की गई है

  • एक non-expert नज़रिए से कहा गया कि यह बदलाव काफ़ी साफ़-सुथरी cleanup जैसा लगता है, लेकिन compatibility breakage हमेशा चिंता का विषय होता है
    OpenSSL 3.x के बहुत पसंद न किए जाने की याद भी दिलाई गई

    • इसके जवाब में कहा गया: इसलिए तो यह version 4 है

  • major version upgrade होने से चीज़ें धीमी पड़ेंगी, ऐसी चिंता जताई गई, लेकिन असली benchmarks में औसतन सिर्फ़ करीब 10% performance drop देखा गया
    यह भी जोड़ा गया कि पूरे इंटरनेट environment के स्तर पर यह कोई बहुत बड़ी समस्या नहीं है

  • कोड में const के बढ़े हुए उपयोग का स्वागत किया गया
    embedded environment में अक्सर खुद const जोड़ना पड़ता था, इसलिए अब इसे default दिशा में जाते देखना अच्छा लगा

  • अंत में, Linux distro package managers की चीख़ें की कल्पना करते हुए हल्का मज़ाक किया गया