A equipe de desenvolvimento do OpenSSL anunciou oficialmente o lançamento da versão 4.0, uma atualização significativa que introduz recursos avançados de segurança, correções críticas e mudanças estruturais importantes no projeto.
O OpenSSL é uma das bibliotecas de criptografia mais utilizadas no mundo Linux e em servidores web, formando a base de TLS/SSL para milhões de aplicações e serviços — desde navegadores até sistemas embarcados.
Principais novidades da OpenSSL 4.0
A nova versão inclui suporte nativo ao Encrypted Client Hello (ECH), um mecanismo definido na RFC 8446 e aprimorado pela RFC 9250. O ECH protege os nomes de domínios (SNI) transmitidos durante o handshake TLS, impedindo que provedores de rede ou intermediários identifiquem sites visitados pelo usuário.
Além disso, foi incorporado o SNMP-KDF, um Key Derivation Function especificamente projetado para uso com protocolos SNMPv3, conforme definido na RFC 7857. Esse recurso permite derivação segura de chaves para autenticação e privacidade em ambientes de gerenciamento de rede.
Suporte a algoritmos pós-quânticos e melhorias de API
A OpenSSL 4.0 adiciona suporte experimental a algoritmos de assinatura pós-quânticos, como Dilithium e Falcon, alinhando-se às iniciativas do NIST para transição criptográfica futura.
Também foram introduzidas alterações importantes na API interna, com a remoção de funções obsoletas e a reestruturação de módulos de provedores. A nova arquitetura de provedores tornou-se ainda mais centralizada, permitindo maior flexibilidade na integração de implementações alternativas de algoritmos.
Mudanças críticas de compatibilidade
A versão 4.0 não é totalmente compatível com versões anteriores. Alguns comportamentos padrão foram modificados para aumentar a segurança por padrão:
- O modo
TLSv1.3agora é ativado por padrão em todos os contextos; - A negociação de cifras inseguras (como
EXPORT,NULL,anon,MD5) foi desabilitada permanentemente; - O suporte a SSLv3 foi completamente removido.
Desenvolvedores devem revisar seus aplicativos e testar cuidadosamente a migração, especialmente se dependem de APIs legadas ou configurações personalizadas.
Exemplo prático: habilitando ECH no cliente
Para ativar o Encrypted Client Hello em aplicações baseadas em OpenSSL 4.0, é necessário configurar o contexto TLS com as opções adequadas:
SSL_CTX_set_options(ctx, SSL_OP_ENABLE_ECH);
SSL_CTX_set_ech_config_list(ctx, ech_config_data, ech_config_len);
Mais detalhes estão disponíveis na documentação oficial de ECH.
Correções de vulnerabilidades e estabilidade
A OpenSSL 4.0 corrige diversas vulnerabilidades relatadas em versões anteriores, incluindo problemas de vazamento de memória em certos cenários de erro e inconsistências na validação de certificados X.509 com extensões aninhadas.
A equipe também reportou melhorias substanciais no tempo de inicialização e uso de memória em ambientes com alta concorrência — particularmente relevante para servidores web e proxies TLS.
Como obter e compilar
O código-fonte da OpenSSL 4.0 está disponível para download na página oficial de lançamentos. A compilação segue o fluxo tradicional:
./config --prefix=/usr/local/openssl-4.0
make -j$(nproc)
sudo make install
Recomenda-se usar o configure flag --api=4.0 para garantir compatibilidade explícita com a nova ABI.
Próximos passos para a comunidade
Distribuições Linux já começaram a avaliar a inclusão da OpenSSL 4.0 em suas próximas versões estáveis. Projetos como Debian, Fedora e Ubuntu devem iniciar testes intensivos nos próximos meses.
A equipe do OpenSSL também anunciou que a manutenção da série 3.0 continuará até 7 de setembro de 2025, com atualizações de segurança regulares — mas novos recursos serão priorizados apenas na linha 4.x.
Para acompanhar atualizações oficiais, consulte o blog do OpenSSL e a lista de discussão openssl-announce.