OpenSSL 3.0 : FIPS en standard et fin des API de bas niveau

Utilisateurs d’OpenSSL, songez à vous passer des API de bas niveau. Jusqu’alors, le projet faisait passer ce message de manière informelle. L’approche a changé cette semaine, avec la publication d’OpenSSL 3.0. Les API en question sont désormais officiellement obsolètes (des avertissements vont commencer à apparaître lors de la compilation). On leur préférera celles de haut niveau, non limitées à des implémentations spécifiques d’algorithmes.

OpenSSL 3.0, c’est aussi, entre autres :

• Une modification du système de gestion des versions. Le niveau de correctif ne sera plus représenté par une lettre, mais par un numéro.
• L’introduction du concept de « provider ». Ces conteneurs agrègent des implémentations d’algorithmes et y donnent accès application par application.
• Le module FIPS inclus en standard. Jusqu’alors, il fallait le télécharger et l’intégrer soi-même. En toile de fond, la quête d’une certification FIPS 140-2. OpenSSL la vise pour 2022.
• Un changement de licence : passage à Apache 2.0 en remplacement du couple OpenSSL + SSLeay

Ce dernier reste applicable aux versions précédentes. À commencer par la seule encore supportée : la 1.1.1 (jusqu’en septembre 2023).

Photo d’illustration © Shifteh Somee – Adobe Stock