OpenSSL 3.0 ist da, neue Lizenz inklusive

Die Kryptobibliothek OpenSSL ist in Version 3.0.0 erschienen. Sie steht unter einer neuen Lizenz, hat das angekündigte FIPS-Modul an Board und ist um einige veraltete APIs erleichtert worden.

Obacht beim Update

Die neue Major-Version ist nicht vollständig abwärtskompatibel zur vorherigen Version. Die Entwickler haben ältere API-Funktionen entfernt, was nun zu Problemen führen könnte: Jede Anwendung, die eine ältere Version von OpenSSL verwendet hat, muss zumindest neu kompiliert werden, um mit der neuen Version arbeiten zu können. Entwickler haben deshalb einen Migrationsleitfaden bereitgestellt, der die wichtigen Unterschiede zwischen der neuen und den vorherigen Versionen beschreibt.

Neu ist das in OpenSSL 3.0 standardmäßig integrierte FIPS-Modul – in der vorherigen Version mussten Nutzer es separat installieren. Das OpenSSL-Labor testet noch das Modul und stellt die Unterlagen für die in Amerika und Kanada notwendige FIPS-140-2-Zertifizierung zusammen. Das endgültige Zertifikat kommt voraussichtlich im kommenden Jahr.

Zum Ärger mancher Nutzer steht nun die neuste Version von OpenSSL unter der Apache-2.0-Lizenz. Entwickler hatten den Wechsel schon vor mehreren Jahren angekündigt. Damals stand die Kryptobibliothek unter einer BSD-Lizenz. Heute gilt diese nur noch für die älteren Versionen von OpenSSL: 1.1.1 und früher.

(mig)