Pular para o conteúdo
OpenSSL 4.0 lançado com ECH, SNMP-KDF e novos recursos de segurança

OpenSSL 4.0 lançado com ECH, SNMP-KDF e novos recursos de segurança

OpenSSL 4.0 traz suporte a Encrypted Client Hello (ECH), SNMP-KDF, criptografia pós-quântica e melhorias críticas de segurança. Saiba tudo sobre o novo lançamento.

A equipe de desenvolvimento do OpenSSL anunciou oficialmente o lançamento da versão 4.0, uma atualização significativa que introduz recursos avançados de segurança, correções críticas e mudanças estruturais importantes no projeto.

O OpenSSL é uma das bibliotecas de criptografia mais utilizadas no mundo Linux e em servidores web, formando a base de TLS/SSL para milhões de aplicações e serviços — desde navegadores até sistemas embarcados.

Principais novidades da OpenSSL 4.0

A nova versão inclui suporte nativo ao Encrypted Client Hello (ECH), um mecanismo definido na RFC 8446 e aprimorado pela RFC 9250. O ECH protege os nomes de domínios (SNI) transmitidos durante o handshake TLS, impedindo que provedores de rede ou intermediários identifiquem sites visitados pelo usuário.

Além disso, foi incorporado o SNMP-KDF, um Key Derivation Function especificamente projetado para uso com protocolos SNMPv3, conforme definido na RFC 7857. Esse recurso permite derivação segura de chaves para autenticação e privacidade em ambientes de gerenciamento de rede.

Suporte a algoritmos pós-quânticos e melhorias de API

A OpenSSL 4.0 adiciona suporte experimental a algoritmos de assinatura pós-quânticos, como Dilithium e Falcon, alinhando-se às iniciativas do NIST para transição criptográfica futura.

Também foram introduzidas alterações importantes na API interna, com a remoção de funções obsoletas e a reestruturação de módulos de provedores. A nova arquitetura de provedores tornou-se ainda mais centralizada, permitindo maior flexibilidade na integração de implementações alternativas de algoritmos.

Mudanças críticas de compatibilidade

A versão 4.0 não é totalmente compatível com versões anteriores. Alguns comportamentos padrão foram modificados para aumentar a segurança por padrão:

  • O modo TLSv1.3 agora é ativado por padrão em todos os contextos;
  • A negociação de cifras inseguras (como EXPORT, NULL, anon, MD5) foi desabilitada permanentemente;
  • O suporte a SSLv3 foi completamente removido.

Desenvolvedores devem revisar seus aplicativos e testar cuidadosamente a migração, especialmente se dependem de APIs legadas ou configurações personalizadas.

Exemplo prático: habilitando ECH no cliente

Para ativar o Encrypted Client Hello em aplicações baseadas em OpenSSL 4.0, é necessário configurar o contexto TLS com as opções adequadas:

SSL_CTX_set_options(ctx, SSL_OP_ENABLE_ECH);
SSL_CTX_set_ech_config_list(ctx, ech_config_data, ech_config_len);

Mais detalhes estão disponíveis na documentação oficial de ECH.

Correções de vulnerabilidades e estabilidade

A OpenSSL 4.0 corrige diversas vulnerabilidades relatadas em versões anteriores, incluindo problemas de vazamento de memória em certos cenários de erro e inconsistências na validação de certificados X.509 com extensões aninhadas.

A equipe também reportou melhorias substanciais no tempo de inicialização e uso de memória em ambientes com alta concorrência — particularmente relevante para servidores web e proxies TLS.

Como obter e compilar

O código-fonte da OpenSSL 4.0 está disponível para download na página oficial de lançamentos. A compilação segue o fluxo tradicional:

./config --prefix=/usr/local/openssl-4.0
make -j$(nproc)
sudo make install

Recomenda-se usar o configure flag --api=4.0 para garantir compatibilidade explícita com a nova ABI.

Próximos passos para a comunidade

Distribuições Linux já começaram a avaliar a inclusão da OpenSSL 4.0 em suas próximas versões estáveis. Projetos como Debian, Fedora e Ubuntu devem iniciar testes intensivos nos próximos meses.

A equipe do OpenSSL também anunciou que a manutenção da série 3.0 continuará até 7 de setembro de 2025, com atualizações de segurança regulares — mas novos recursos serão priorizados apenas na linha 4.x.

Para acompanhar atualizações oficiais, consulte o blog do OpenSSL e a lista de discussão openssl-announce.

Por · Última atualização: