OpenSSL 3.0 loopt half jaar vertraging op

Dat schrijft ontwikkelaar Matt Caswell in een blog op de site van OpenSSL. Oorspronkelijk zou de code voor OpenSSL eind 2019 af moeten zijn, maar dat redden de ontwikkelaars niet. De eerder gecommuniceerde tijdlijn van bèta's begin 2020 en een definitieve uitrol van OpenSSL 3.0 'begin tweede kwartaal 2020' wordt daarom veranderd.

Nieuwe data

De code moet nu aan het einde van het tweede kwartaal, dus uiterlijk eind juni, af zijn. Daarna starten er bèta's en in het begin van het vierde kwartaal, dus oktober, moet de definitieve OpenSSL 3.0-release plaatsvinden. De 3.0-code, die nog volop in ontwikkeling is, staat op GitHub en de OpenSSL-organisatie hoopt dat gebruikers de software uitproberen en bugs melden. 

Verbeteringen in 3.0

De verbeteringen in OpenSSL 3.0 vinden vooral onder de motorkap plaats. Zo krijgt de software 'Providers' waar alle cryptografische algoritmen gebruik van gaan maken. Dit nieuwe framework moet de software meer gestructureerd maken, wat beter moet zijn voor het beheren van API's en de toekomstbestendigheid van de software. 

Wie erg geïnteresseerd is in OpenSSL 3.0 en een paar uur heeft, kan op de officiële site alle verbeteringen en vernieuwingen doornemen. Gebruikers van OpenSSL moeten op termijn enkele tot veel aanpassingen doen om compatibel te zijn met versie 3.0. Met het uitstel van een half jaar door de organisatie krijgen gebruikers onbedoeld meer tijd om zich voor te bereiden.

Oudere OpenSSL-versies

Aan andere data wordt niet gesleuteld. Dat betekent dat OpenSSL 1.1.1 voorlopig de versie blijft die gebruikers moeten draaien. Zoals eerder gecommuniceerd krijgt OpenSSL 1.0.2 eind dit jaar de 'end of life'-status. Er verschijnen daarna geen - gratis - beveiligingsupdates of feature-updates meer voor de oude versie. OpenSSL raadt 1.0.2-gebruikers aan te upgraden naar 1.1.1, de versie die dus over een jaar wordt opgevolgd door 3.0. Wie niet wil upgraden naar 1.1.1, kan tegen betaling ondersteuning blijven ontvangen voor 1.0.2.