OpenSSL 1.1 API 的迁移问题

最新推荐文章于 2023-11-10 11:44:06 发布
最新推荐文章于 2023-11-10 11:44:06 发布
阅读量343 收藏
点赞数
文章标签: 数据结构与算法
原文链接:https://yq.aliyun.com/articles/113872
版权

很多人都知道,OpenSSL 1.1.0版本有意介绍了从以前的版本引入了重大的API更改,以前公开可见的大量数据结构已经变得不透明,添加了访问器函数以获取和设置这些现在不透明结构中的一些字段。值得注意的是,使用不透明数据结构对库通常是有益的,因为可以改变这些数据结构而不破坏ABI。因此,这些变化的总体方向在很大程度上是合理的。

然而,虽然API更改通常是进展所必需的,但OpenSSL似乎没有转换计划,完全忽视了这些更改对整个开源生态系统的影响。

目前来看唯一可接受的方案是把重任转接给每个使用OpenSSL 的软件项目中:在依然兼容以前API的情况下推进每个项目中把核心代码迁移为OpenSSL 1.1 ,同时保持与先前API的兼容性(例如php-src和openssh-portable)。这迫使每个项目提供自己的向后兼容性,肯定会引发一些问题,引入潜在的安全问题或内存泄漏。

由于许多因素,使用OpenSSL的软件项目不能简单地迁移到1.1 API,并且不再支持1.0 API ——在大多数情况下,他们需要继续支持这两者。首先,我不知道有任何平台已经发布OpenSSL 1.1版本 —— 任何支持OpenSSL 1.1的软件,没有平台可以使用。其次,OpenSSL 1.0.2版本支持到2019年12月31日,而OpenSSL 1.1.0只支持到2018年8月31日——显然任何LTS风格版本都会考虑使用1.0.2。

尝试与OpenSSL 1.1 协同工作的平台已经遭遇了明显的挑战 :例如,目前Debian518个中就有257个包不是针对OpenSSL 1.1 构建的。同时还存在隐藏一些问题,类似不同的类库基于不同的OpenSSL 版本但却贡献OpenSSL 数据结构的场景,这些问题都很难被察觉。因为他们只会在运行时出现。

但是,OpenSSL(仍然有)至少两个选项可以避免这种情况,使得软件项目从旧的API平滑过渡到新的API,而不是每个单独的项目都必须向后兼容至少三年(实际更长)。

我恳求OpenSSL项目认真重新考虑他们的API改变的方法,更重要的是相关的迁移,尤其是记住什么是最好的整体生态系统,而不仅仅是OpenSSL项目。我还要求使用OpenSSL的软件项目仔细考虑他们如何处理这种情况,特别是考虑他们需要多长时间携带兼容性代码和#ifs。

最后我想说的是,这不是LibreSSL的问题 —— 如果我们添加所有的OpenSSL 1.1访问器,为OpenSSL 1.0或OpenSSL 1.1编写的软件将可以与LibreSSL无缝工作。但无论如何,软件仍然必须保持与两个OpenSSL API的兼容性。

文章转载自 开源中国社区 [http://www.oschina.net]
weixin_34253539
关注
openssl源码分析之接受连接(1.1.1+)
thinker
11-28 558
//接受一个链接 ossl_statem_accept(SSL *s) //服务端 state_machine(s, 1); //*读状态机 ,s->server 1表示服务端,0表示客户端 state_machine(SSL *s, int server) { //这里取需要的回调 cb = get_callback(s); if (s->server) { transition = ossl_statem_server_read_transit...
Nginx + Lua + API:实现精准城市级别的访问控制
漠效的博客
04-03 1483
在实际的 Web 项目中,有时需要根据客户端位置信息进行访问控制。例如,某些网站可能只允许特定省份或城市的用户访问,而其他地区的用户则无法访问。通常如果要限制地区,通常有如下几种限制方式:在代码层面进行处理,即通过代码判断客户端 IP 所在的省份或城市,然后根据判断结果进行访问控制访问控制逻辑需要集成到应用程序中,难以实现全局有效的访问控制每次请求都需要进行 IP 地址查询和解析,会增加服务器负担攻击者可以伪造 IP 地址等信息来规避访问控制。
openssl1.1.1源码
09-25
该资源为openssl1.1.1源码,用与编译出相关的SSL库,对于openssl的编译过程及使用其创建https server 可参考本账号博客文章。
openssl 1.0.0编译
铭星的专栏
04-01 2556
win32下编译openssl 1.0.0 1) 下载openssl 1.0.0 http://www.openssl.org/source/ 2)下载ActivePerl http://www.activestate.com/activeperl/downloads 3) 进入openssl home目录 cd v:\openssl\openssl-1.0.0 安装
OpenSSL API 调用错误处理上的细节问题
weixin_33972649的博客
06-19 835
最近遇到一个 bug,调用 OpenSSL API 出错时,返回的错误信息牛头不对马嘴,不知道为什么会有这种情况。仔细分析后发现,发生这种情况时之前都会有一次 OpenSSL API 出错,而且后一次调用出错返回的错误信息跟前一次很相似。呃,难道 OpenSSL API 出错时,会返回多条错误信息? 搜索一番后发现,OpenSSL 出错时...
openssl客户端编程:一个不起眼的函数导致的SSL会话失败问题
lgsoftlee的博客
06-27 1563
我们目前大部分使用的openssl库还是基于TLS1.2协议的1.0.2版本系列,如果要支持更高的TLS1.3协议,就必须使用openssl1.1.1版本或3.0版本。升级openssl库有可能会导致SSL会话失败,我在升级 wincurl 时,意外的收获了一个函数。这个函数非常的不起眼,但具有的现实意义却很大。 大部分情况下如果你不调用该函数,并不影响SSL会话和通信,但有时会被某些服务器拒绝。一旦被拒绝,查找具体的原因将变得非常痛苦。这个函数的意义好比HTTP协议中HOST字段,它和NGINX反向代理
openssl-1.1.1g.zip
06-13
4. API兼容性:虽然引入了新的特性和功能,但1.1.1g仍然保持了向后兼容性,使得旧代码可以无缝迁移。 编译OpenSSL 1.1.1g的三步法: 对于开发者来说,正确编译和安装OpenSSL是关键步骤。以下是在Linux环境下编译...
openssl 1.0.1k 移植到vc2013
01-13
移植OpenSSL到新的编译器环境,例如从VC6.0迁移到VC2013,主要涉及到几个关键步骤: 1. **环境配置**:确保你已经安装了Visual Studio 2013,并且设置了开发环境。VC2013引入了许多新特性,比如C++11标准支持,这...
.NET关于 跳过SSL中遇到的问题
最新发布
人生在手
11-10 1009
.NET关于 跳过SSL中遇到的问题
实现安全性和数据保护的云API集成工具
## 1.1 云计算和API集成的发展趋势 随着云计算技术的不断发展,越来越多的企业开始将他们的业务和数据迁移到云端。云计算架构的灵活性和可扩展性使得企业能够轻松地管理他们的业务需求,并在需求发生变化时进行快速...
openssl库(版本号OpenSSL_1_1_1c)编译文件
07-22
由Visual Studio 2015编译生成的,包括openssl库生成的静态库版本(32位/64位)、动态库版本(32位/64位); 1、静态库版本生成文件:头文件、libcrypto.lib、libssl.lib 2、动态库版本(32位)生成文件:头文件、libcrypto.lib、libssl.lib、libcrypto-1_1.dll、libssl-1_1.dll 3、动态库版本(64位)生成文件:头文件、libcrypto.lib、libssl.lib、libcrypto-1_1-x64.dll、libssl-1_1-x64.dll 具体编译步骤可参考 https://blog.csdn.net/qq0824/article/details/96483464
openssl 加解密 API使用实例
wq897387的专栏
02-26 836
openssl 对称密钥 加解密 API使用实例
openssl 常用api的作用与使用
小x的博客
12-30 4677
服务端编写步骤 SSL_library_init SSL库的初始化 OpenSSL_add_all_algorithms 载入所有的SSL算法 SSL_load_error_strings() 载入所有SSL错误消息 SSL_CTX_new() 产生一个SSL CTX SSL_CTX_use_certificate_file 载入用户的数字证书 X509 *SSL_get_peer_certificate(const SSL *ssl);// 获取对方的数字证书 ...
openssl 1.1.0 与 openssl 1.0.2 编译依赖的兼容性问题
热门推荐
抱朴守拙
09-21 2万+
1 问题描述 服务器: 龙心/deepin Linux deepin 3.10.108-deepin+ #3 SMP PREEMPT Tue Jan 23 16:54:44 CST 2018 mips64 GNU/Linux 服务器自带的 openssl 版本: #> openssl version -a OpenSSL 1.1.0e 16 Feb 2017 built on: rep...
OpenSSL API
刚刚起步的菜鸟
10-12 3974
/**  * @file cert_openssl.c  * @brief 利用openssl api处理证书  * @author zy  * @date 2014-10-11 modify  */ #include <stdio.h> #include <unistd.h> #include <openssl/pem.h> #include <ope...
linux升级 OpenSSL1.1.1完成步骤(2019.10.17亲测通用可行)
lw545034502的博客
10-17 1万+
第一步:下载并解压 OpenSSL 随便找个目录下载解压就行,我自己创建目录的是:/usr/local/software wget https://github.com/openssl/openssl/archive/OpenSSL_1_1_1-stable.zip unzip OpenSSL_1_1_1-stable.zip 第二步:编译安装 ./config --prefix...
openssl: 兼容openssl1.1.0及旧版本
test1280
06-06 6353
openssl 兼容 1.1.0+ 和 旧版本 openssl 兼容 1.1.0 1.0.2 openssl 兼容性
OpenSSL编程初探1 --- 使用OpenSSL API建立SSL通信的一般流程简介
平凡之路
02-08 1万+
使用OpenSSL API 建立SSL安全通信的一般流程 本文由CSDN-蚍蜉撼青松【主页:http://blog.csdn.net/howeverpf】整理编辑,转载请注明出处!             OpenSSL是一套开放源代码的SSL套件,其函数库是以C语言所写成,实现了基本的传输层数据加密功能。此软件是以两个加拿大人Eric A. Young 和Tim J. Hudson所写的...
openssl 1.1 编译好的库
07-01
### 回答1: openssl 1.1 是一种开源的加密库,用于提供数据的安全传输和加密/解密功能。编译好的库是已经将openssl 1.1 的源代码进行编译,生成可执行文件的库文件。 编译好的库文件可以直接供开发人员在其应用程序中使用,无需再次编译源代码。这使得开发人员能够轻松地将openssl 1.1 的加密功能集成到他们的应用程序中,提供更高的数据安全性。 编译好的库文件可以根据目标操作系统的不同进行选择和使用。例如,可以为Windows系统编译openssl库文件,也可以为Linux系统或者macOS系统编译openssl库文件。这种灵活性使得开发人员能够为特定的操作系统和应用程序要求选择合适的库文件。 使用编译好的openssl 1.1 库文件,开发人员可以实现数据加密和解密、SSL/TLS握手协议、数字签名等功能。这些功能可以帮助开发人员保护敏感数据的安全,确保数据在传输和存储过程中不被恶意攻击者窃取或篡改。 总之,编译好的openssl 1.1 库文件为开发人员提供了一种方便和高效的方式来集成强大的数据加密和安全传输功能到他们的应用程序中,提高数据的保密性和完整性。 ### 回答2: OpenSSL是一个开放源代码的软件库,它提供了一套用于实现安全通信的加密功能。OpenSSL 1.1是其最新版本,具有更高的性能和更好的安全性。 编译好的库指的是经过编译处理后的库文件,可以直接在特定操作系统中使用。对于OpenSSL 1.1编译好的库,可以在各个操作系统平台中使用,例如Windows、Linux、Mac等。 编译好的库通常可以通过以下步骤来使用: 1. 下载OpenSSL 1.1的源代码,并解压缩。 2. 执行相应的编译命令行,根据操作系统和编译选项生成所需的库文件。 3. 编译好的库会生成在指定的输出目录中,其中包括动态链接库(.dll、.so)和静态链接库(.lib、.a)以及头文件等。 4. 在开发项目中,可以将编译好的库文件加入到项目的依赖中,以供需要使用OpenSSL 1.1功能的代码使用。 使用OpenSSL 1.1编译好的库可以提供各种加密和解密算法、SSL/TLS协议支持、数字证书操作、随机数生成、哈希函数等功能,可以应用于网络通信安全、数据加密传输、身份验证等领域。 总之,OpenSSL 1.1编译好的库是一个高效且安全的软件库,可以在各个操作系统中使用,为开发者提供了实现安全通信功能的工具。 ### 回答3: OpenSSL是一个开源的密码学库,它提供了各种加密和解密算法、协议和安全服务的实现。OpenSSL 1.1OpenSSL库的一个新版本,相较于之前的版本,它提供了许多重要的改进和更新。 首先,OpenSSL 1.1提供了更好的性能和吞吐量。它进行了许多优化,从而能够更高效地执行各种加密和解密操作。这对于需要处理大量数据的应用程序来说尤为重要。 其次,OpenSSL 1.1增强了其安全性。它修复了之前版本中的一些安全漏洞,并提供了更好的防护措施,以防止潜在的攻击。它还实现了一些新的密码学算法和协议,从而能够更好地应对现代安全威胁。 此外,OpenSSL 1.1还改进了其易用性和可移植性。它提供了更友好的API和文档,使开发人员能够更轻松地使用和集成库。它还强化了对各种平台的支持,并通过解决一些兼容性问题来提高其可移植性。 最后,OpenSSL 1.1还引入了一些新功能,以满足不同应用程序的需求。例如,它增加了对密码管理和证书颁发机构的支持,使其在实现安全身份验证和授权方面更为强大。 总的来说,OpenSSL 1.1是一个经过改进和更新的开源密码学库,它提供了更好的性能、更高的安全性、更好的易用性和可移植性,以及一些新的功能。对于需要进行加密和解密操作的应用程序来说,使用这个编译好的库将能够有效地提供所需的安全性和功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值