OpenSSL 4.0.0 chính thức ra mắt: Loại bỏ SSLv3, bổ sung ECH và thuật toán hậu lượng tử

Dự án mã nguồn mở OpenSSL vừa công bố phiên bản 4.0.0, một bản phát hành tính năng (feature release) quan trọng mang đến nhiều thay đổi lớn về chức năng và khả năng bảo mật. Đây là bản cập nhật được mong đợi, hiện đại hóa thư viện mật mã học này để phù hợp với các tiêu chuẩn web hiện đại và các yêu cầu bảo mật ngày càng khắt khe.

Bài viết này sẽ tóm tắt những thay đổi cốt lõi mà các nhà phát triển và chuyên gia hệ thống cần lưu ý khi nâng cấp.

Những thay đổi đột phá và loại bỏ hỗ trợ

OpenSSL 4.0.0 thực hiện việc dọn dẹp mã nguồn bằng cách loại bỏ các thành phần đã lỗi thời và không còn an toàn, đồng thời thay đổi một số hành vi mặc định.

• Loại bỏ hỗ trợ SSLv3 và SSLv2 Client Hello: Giao thức SSLv3, vốn đã bị phản đối (deprecated) từ năm 2015 và bị tắt mặc định từ phiên bản 1.1.0, hiện đã bị loại bỏ hoàn toàn. Hỗ trợ cho SSLv2 Client Hello cũng được gỡ bỏ để tăng cường bảo mật.
• Loại bỏ cơ chế Engines: Toàn bộ hỗ trợ cho "engines" đã bị loại bỏ. Các tùy chọn xây dựng no-engine và macro OPENSSL_NO_ENGINE hiện luôn tồn tại mặc định.
• Thay đổi về API và cấu trúc dữ liệu: ASN1_STRING đã được chuyển sang dạng opaque (ẩn chi tiết triển khai). Chữ ký của nhiều hàm API liên quan đến xử lý X509 đã được thay đổi để thêm bộ định tính const cho các đối số và kiểu trả về.
• Loại bỏ các công cụ và hàm lỗi thời: Script c_rehash đã bị loại bỏ thay thế bằng lệnh openssl rehash. Các hàm như X509_cmp_time() và ERR_remove_state() cũng bị loại bỏ hoặc thay thế bằng các phiên bản mới an toàn hơn.
• Hạn chế hỗ trợ đường cong Elliptic (EC): Hỗ trợ cho các đường cong EC bị phản đối theo RFC 8422 và các đường cong EC tường minh đã bị tắt mặc định khi biên dịch. Người dùng cần bật chúng một cách rõ ràng thông qua các tùy chọn cấu hình nếu cần thiết.

Các tính năng bảo mật và mã hóa mới

Phiên bản này tập trung vào việc tăng cường quyền riêng tư và chuẩn bị cho tương lai của mật mã học với sự hỗ trợ cho các thuật toán mới.

• Encrypted Client Hello (ECH): OpenSSL 4.0.0 đã thêm hỗ trợ cho Encrypted Client Hello (theo RFC 9849). Đây là một tính năng quan trọng giúp nâng cao quyền riêng tư của người dùng bằng cách mã hóa phần handshake của kết nối TLS, ngăn chặn các bên thứ ba (như ISP hoặc tường lửa) biết được trang web mà người dùng đang truy cập.
• Hỗ trợ thuật toán hậu lượng tử (Post-quantum): Bản phát hành bổ sung hỗ trợ cho nhóm trao đổi khóa hậu lượng tử lai curveSM2MLKEM768 (được định nghĩa trong tls-hybrid-sm2-mlkem), cùng với việc hỗ trợ RFC 8998 bao gồm thuật toán chữ ký sm2sig_sm3 và nhóm trao đổi khóa curveSM2.
• Hỗ trợ cSHAKE và ML-DSA-MU: Thêm hỗ trợ cho hàm cSHAKE theo tiêu chuẩn SP 800-185 và thuật toán digest "ML-DSA-MU".

Cải thiện khác và hiệu suất

Ngoài các thay đổi lớn về bảo mật, OpenSSL 4.0.0 còn mang lại một số cải tiến kỹ thuật khác:

• Xử lý FIPS: Các bài kiểm tra tự kiểm tra (self-tests) của FIPS hiện có thể được hoãn lại và chạy khi cần thiết thông qua tùy chọn -defer_tests trong lệnh openssl fipsinstall.
• Hỗ trợ Windows: Cải thiện khả năng liên kết với thời gian chạy VC (Visual C++) tĩnh hoặc động trên nền tảng Windows.
• Định dạng dữ liệu: Chuẩn hóa độ rộng của các bản dump dữ liệu thập lục phân (hex dumps) để hiển thị tốt hơn trên terminal (24 byte cho chữ ký, 16 byte cho các dữ liệu khác).

Với bản phát hành này, OpenSSL tiếp tục khẳng định vai trò là nền tảng bảo mật cốt lõi của Internet, không chỉ bằng việc loại bỏ các "gánh nặng" quá khứ mà còn bằng cách chủ động tích hợp các công nghệ bảo mật tiên tiến như ECH và mật mã học hậu lượng tử.