OpenSSL 3.3 发布：新增QLog支持，用于追踪QUIC连接

OpenSSL 3.3 已于近日发布了，作为这个功能强大的、开源的、跨平台的、免费的软件库的一次重大更新。它为应用程序和网站提供了安全的计算机网络通信。

距离OpenSSL 3.2发布已经过去了四个半月。OpenSSL 3.3版本增加了对QLog的支持，用于跟踪QUIC连接，还支持了QUIC连接和流对象的轮询，并提供了几个新的API，允许配置使用QUIC加密连接定向协议的连接的各个方面。QUIC在OSI模型中运行在传输层或第4层。

新的API允许用户配置QUIC连接的协商闲置超时时间，确定当前可以为QUIC连接创建的附加流的数量，禁用QUIC SSL对象的隐式QUIC事件处理，并查询QUIC流的写缓冲区的大小和利用率。

OpenSSL 3.3还提供了一个新的SSL_write_ex2 API，用于在使用QUIC时以优化的方式发送流的结束（FIN）条件，一个新的EVP_DigestSqueeze() API，允许SHAKE以不同的输出大小多次挤压，以及使用time_t的新的SSL_SESSION_get_time_ex()和SSL_SESSION_set_time_ex() API函数。当启用64位时间时，对于32位系统来说，这是Y2038年问题的解决方案。

此外，OpenSSL 3.3 还引入了一个新的 SSL_OP_PREFER_NO_DHE_KEX 选项，允许用户配置 TLS1.3 服务器优先使用仅 PSK 密钥交换的会话恢复，而不是 PSK 与 DHE 同时可用时，以及一个新的 X509_STORE_get1_objects API，以避免多线程应用程序中现有的 X509_STORE_get0_objects API 的问题。

除此之外，此版本中的 BLAKE2s 哈希算法已更新，以匹配 BLAKE2b 对可配置输出长度的支持，EVP_PKEY_fromdata 函数已增强，允许在请求时派生 CRT（中国剩余定理）参数，还新增了一个 atexit 配置开关，用于控制在卸载 libcrypto 时是否注册 OPENSSL_cleanup。

在 OpenSSL 3.3 中还添加了几个 CMPv3 中定义的新功能，这个版本在 Unix 和 Windows 系统上与 pkg-config 导出器一起提供了 CMake 的导出器，还支持在 TLS SignatureAlgorithms 和 ClientSignatureAlgorithms 配置选项中忽略未知条目，并且以 ? 字符开头的对 SSL[_CTX]_set1_sigalgs() 和 SSL[_CTX]_set1_client_sigalgs() 的调用。

想要了解更多详情，请查阅发布说明。与此同时，您可以立即从官方网站下载 OpenSSL 3.3。建议所有用户、网站和操作系统尽快升级到此版本。

The post OpenSSL 3.3 发布：新增QLog支持，用于追踪QUIC连接 first appeared on Linux迷.