Nguồn: GitHub — openssl/openssl
Tóm tắt
OpenSSL 4.0.0 được phát hành như một feature release quan trọng với nhiều thay đổi breaking, xóa bỏ các tính năng lỗi thời và bổ sung hỗ trợ cho các tiêu chuẩn mật mã hiện đại. Đây là bản nâng cấp major version đầu tiên kể từ OpenSSL 3.x, đánh dấu sự dọn dẹp toàn diện codebase sau nhiều năm tích lũy legacy code.
Về xóa bỏ: SSLv3 đã bị loại bỏ hoàn toàn (đã bị disabled by default từ v1.1.0 năm 2016 và deprecated từ 2015), SSLv2 Client Hello cũng bị xóa. Hỗ trợ “engines” — cơ chế mở rộng cũ trong OpenSSL — bị gỡ bỏ hoàn toàn cùng với c_rehash script và nhiều deprecated API khác. libcrypto không còn dọn dẹp globally allocated data thông qua atexit(), thay vào đó chạy trong global destructor.
Về tính năng mới: bản 4.0.0 thêm hỗ trợ Encrypted Client Hello (ECH, RFC 9849) — giúp mã hóa Server Name Indication (SNI) để tránh lộ domain name trong quá trình TLS handshake. Ngoài ra có hỗ trợ post-quantum group curveSM2MLKEM768, thuật toán cSHAKE (SP 800-185), “ML-DSA-MU” digest, và negotiated FFDHE key exchange trong TLS 1.2 theo RFC 7919. FIPS self tests có thể defer và chạy theo yêu cầu.
Các breaking change về API: chữ ký của nhiều hàm API liên quan đến X509 đã được cập nhật để thêm const qualifiers. ASN1_STRING trở thành opaque. PKCS5_PBKDF2_HMAC với FIPS provider giờ enforce lower bounds checks. Đây là bản release cần đánh giá kỹ trước khi nâng cấp trong các hệ thống production.