AI 요약
OpenSSL 프로젝트는 4월 14일, 대규모 기능 추가와 하위 호환성 변경을 포함한 OpenSSL 4.0.0 버전을 공식 릴리즈했습니다. 이번 버전의 핵심은 보안 위협이 큰 레거시 기술과의 완전한 결별로, 2015년 이후 지원이 중단되었던 SSLv3와 SSLv2 Client Hello 기능을 완전히 삭제했습니다. 또한, 기존의 커스텀 'Engine' 지원을 중단하고 'no-engine' 빌드 옵션을 기본값으로 설정하여 현대적인 Provider 아키텍처로의 전환을 선언했습니다. 기술적으로는 ASN1_STRING을 불투명(Opaque) 타입으로 변경하고 다수의 API에 const 한정자를 추가하는 등 코드의 안전성과 유지보수성을 높이는 데 주력했습니다. 이번 릴리즈는 암호화 표준을 현대화하고 성능 및 보안 검증을 강화하기 위한 중대한 전환점으로 평가됩니다.
핵심 인사이트
- 릴리즈 일시 및 규모: 2024년 4월 14일(12:55)에 발표되었으며, 마스터 브랜치에 304개의 커밋이 반영된 주요 메이저 업데이트입니다.
- 레거시 프로토콜 제거: 2015년 지원 중단 및 2016년(v1.1.0)부터 비활성화되었던 SSLv3를 완전히 제거했으며, SSLv2 Client Hello 지원도 중단되었습니다.
- 엔진 지원 종료: 그동안 사용되어 온 'Engine' 지원이 제거되었으며,
OPENSSL_NO_ENGINE매크로가 항상 활성화된 상태로 유지됩니다. - 하드웨어 타겟 정리: darwin-i386 및 darwin-ppc(64)와 같은 구형 아키텍처에 대한 지원이 구성 설정에서 공식 삭제되었습니다.
주요 디테일
- 데이터 출력 표준화: 16진수 덤프 시 서명(Signatures) 데이터는 24바이트, 그 외 데이터는 16바이트 폭으로 출력되도록 표준화하여 80자 제한 내 가독성을 확보했습니다.
- FIPS 보안 강화: FIPS 제공자와 함께 PKCS5_PBKDF2_HMAC API를 사용할 경우 더 엄격한 하한 경계 검사(Lower bounds checks)가 강제됩니다.
- 인증서 검증 로직 변경:
X509_V_FLAG_X509_STRICT설정 시 AKID(Authority Key Identifier) 검증이 추가되었으며, 시간 비교 함수들이X509_check_certificate_times()로 통합 권장됩니다. - API 구조적 변화:
ASN1_STRING이 불투명(Opaque)해졌으며, X509 처리 관련 다수 함수의 인자 및 반환 타입에const한정자가 추가되어 데이터 무결성이 강화되었습니다. - 도구 및 스크립트 교체: 기존
c_rehash스크립트 도구가 제거되었으며, 대신openssl rehash명령어를 사용해야 합니다. - 시스템 라이브러리 활용:
BIO_snprintf()가 자체 내부 구현 대신 libc의snprintf()를 직접 사용하도록 변경되었습니다.
향후 전망
- 레거시 인프라 전환: SSLv3 및 엔진 기반 시스템을 여전히 사용하는 구형 엔터프라이즈 환경에서는 강제적인 보안 업그레이드와 코드 마이그레이션이 필수적입니다.
- 보안 표준 상향: Provider 기반 아키텍처의 완전한 정착으로 인해, 향후 OpenSSL 기반 애플리케이션들의 보안성 및 FIPS 준수 난이도가 한층 높아질 것으로 보입니다.
출처:hackernews