Page semi-protected

OpenSSL

OpenSSL
OpenSSH와 혼동하지 마십시오.
OpenSSL
개발자OpenSSL 프로젝트
초기 릴리즈1998년; 24년 전(1998년)
안정된 릴리스3.0.5 (2022년 7월 5일, 3개월 전(2022-07-05))[1] [±]
저장소
기입처C, 어셈블리, Perl
유형암호화 도서관
면허증.3.0 이후:Apache-2.0[2]
1.x 이전:OpenSSL[3]
웹 사이트www.openssl.org

OpenSSL은 컴퓨터 네트워크를 통한 통신을 도청으로부터 보호하거나 상대방을 식별해야 하는 응용 프로그램용 소프트웨어 라이브러리입니다.대부분HTTPS 웹 사이트를 포함한 인터넷 서버에서 널리 사용됩니다.

OpenSSL에는 SSL 및 TLS 프로토콜의 오픈 소스 구현이 포함되어 있습니다.C 프로그래밍 언어로 작성된 코어 라이브러리는 기본적인 암호화 기능을 구현하고 다양한 유틸리티 기능을 제공합니다.OpenSSL 라이브러리를 다양한 컴퓨터 언어로 사용할 수 있는 래퍼를 사용할 수 있습니다.

OpenSSL 소프트웨어 재단(OSF)은 기부자 라이센스 계약, 기부금 관리 등을 포함한 대부분의 법적 자격으로 OpenSSL 프로젝트를 나타냅니다.OpenSSL 소프트웨어 서비스(OSS)는 지원 계약에 대한 OpenSSL 프로젝트도 나타냅니다.

OpenSSL은 Linux, macOS BSD를 포함대부분의 Unix 유사 운영 체제 및 마이크로소프트 윈도우즈에서 사용할 수 있습니다.

프로젝트 이력

OpenSSL 프로젝트는 인터넷에서 사용되는 코드에 대한 무료 암호화 도구 세트를 제공하기 위해 1998년에 설립되었습니다.Eric Andrew Young과 Tim Hudson의 SSLeay 포크를 기반으로 합니다.이 포크는 1998년 12월 17일 Young과 Hudson이 모두 RSA Security에 근무하면서 비공식적으로 개발이 종료되었습니다.초기 창립 멤버는 Mark Cox, Ralf Engelschall, Stephen Henson, Ben Laurie, Paul [4]Sutton이었다.

2019년 [5]5월 현재 OpenSSL 관리위원회는 7명으로[6] 구성되었으며, 커밋 액세스 권한을 가진 개발자는 17명[7](이들 중 상당수는 OpenSSL 관리위원회 소속)입니다.정규 직원(동료)은 2명뿐이고 나머지는 자원봉사자들이다.

이 프로젝트의 예산은 연간 100만 달러 미만이며, 주로 기부에 의존하고 있습니다.TLS 1.3의 개발은 Akamai가 [8]후원하고 있다.

메이저 버전릴리즈

OpenSSL 릴리즈[9][10] 이력
버전 원래 출시일 댓글 마지막 마이너 버전
이전 버전, 더 이상 유지 보수되지 않음: 0.9.1 1998년 12월 23일(1998-12-23)
  • OpenSSL 프로젝트의 공식 시작
 0.9.1c(1998년 12월 23일)
이전 버전, 더 이상 유지 보수되지 않음: 0.9.2 1999년 3월 22일(1999-03-22)
  • 0.9.1c의 후계자
 0.9.2b(1999년 4월 6일)
이전 버전, 더 이상 유지 보수되지 않음: 0.9.3 1999년 5월 25일(1999-05-25)
  • 0.9.2b의 후계자
 0.9.3a(1999년 5월 27일)
이전 버전, 더 이상 유지 보수되지 않음: 0.9.4 1999년 8월 9일(1999-08-09)
  • 0.9.3a의 후계기
 0.9.4(1999년 8월 9일)
이전 버전, 더 이상 유지 보수되지 않음: 0.9.5 2000년 2월 28일(2000-02-28)
  • 0.9.4의 후계자
 0.9.5a (2000년 4월 1일)
이전 버전, 더 이상 유지 보수되지 않음: 0.9.6 2000년 9월 24일(2000-09-24)
  • 0.9.5a의 후계기
 0.9.6 m (2004년 3월 17일)
이전 버전, 더 이상 유지 보수되지 않음: 0.9.7 2002년 12월 31일(2002-12-31)
  • 0.9.6m의 후계기
 0.9.7 m (2007년 2월 23일)
이전 버전, 더 이상 유지 보수되지 않음: 0.9.8 2005년 7월 5일(2005-07-05)
  • 0.9.7m의 후계기
 0.9.8zh (2015년 12월 3일)
이전 버전, 유지 보수 불필요: 1.0.0 2010년 3월 29일 (2010-03-29)
  • 0.9.8n의 후계자
 1.0.0t(2015년 12월 3일(2015년 12월 3일))
이전[11] 버전, 유지 보수 불필요: 1.0.1 2012년 3월 14일 (2012-03-14)
  • 1.0.0h의 후계자
  • 2016년 12월 31일까지 지원
  • RFC 6520 TLS/DTLS 하트비트 지원
  • SCTP 지원
  • RFC 5705 TLS 주요 자료 내보내기
  • RFC 5764 DTLS-SRTP 네고시에이션
  • 다음 프로토콜 네고시에이션
  • 증명서, 요구 및 증명서 취소 리스트(CRL)의 PSS 시그니처
  • CMS의 패스워드 기반 수신자 정보 지원
  • TLS 1.2 및 TLS 1.1 지원
  • 검증되지 않은 2.0 FIPS 모듈용 예비 FIPS 140 기능
  • SRP(Secure Remote Password Protocol) 지원
 1.0.1u (2016년 9월 22일(2016년 9월 22일))
이전[12] 버전, 유지 보수 불필요: 1.0.2 2015년 1월 22일(2015-01-22)
  • 1.0.1l의 후계기
  • 2019년 12월 31일까지 지원(장기 지원)[13]
  • 스위트 B의 TLS 1.2 및 DTLS 1.2 지원
  • DTLS 1.2 지원
  • TLS 자동 타원 곡선(EC) 선택
  • TLS가 지원하는 시그니처 알고리즘 및 곡선을 설정하는 API
  • SSL_CONF 설정 API
  • TLS Brainpool 지원
  • ALPN 지원
  • RSA-PSS, RSA-OAEP, ECDHX9.42 DH에 대한 CMS 지원
  • FIPS 140 지원
 1.0.2u(2019년 12월 20일~2019년 12월 20일)
이전[14] 버전, 유지 보수 불필요: 1.1.0 2016년 8월 25일(2016-08-25)
  • 1.0.2h의 후계자
  • 2019년 9월[13] 11일까지 지원
  • BLAKE2(RFC 7693) 지원
  • ChaCha20-Poly1305(RFC 7539) 지원
  • X25519(RFC 7748) 지원
  • DANE증명서 투과성 지원
  • CCM 암호 스위트 지원
  • 확장 마스터 시크릿
  • SSLv2 삭제
  • Kerberos 암호 스위트 지원이 제거되었습니다.
  • libssl의 DEFAULT 암호 스위트에서 RC4 및 3DES 삭제
  • DSS, SEED, IDEA, CAMELLIA 및 AES-CCM을 기본 암호 목록에서 삭제합니다.
  • libssl에서 40비트 및 56비트 암호 지원 삭제
  • FIPS 140 지원 삭제
 1.1.0l (2019년 9월 10일)
이전[15] 버전이지만 유지 보수: 1.1.1 2018년 9월 11일(2018-09-11) 진행 중인 개발
현재 안정적인 버전: 3.0.0[17][주 1] 2021년 9월 7일(2021-09-07) 진행 중인 개발
범례:
구버전
이전 버전, 아직 유지 관리됨
최신 버전
최신 프리뷰 버전
향후 출시

알고리즘

OpenSSL은 다음과 같은 다양한 암호화 알고리즘을 지원합니다.

암호
AES, 복어, 동백, 차차20, Poly1305, SEED, CAST-128, DES, IDEA, RC2, RC4, RC5, 트리플 DES, GOST 28147-89,[19] SM4
암호화 해시 함수
MD5, MD4, MD2, SHA-1, SHA-2, SHA-3, RIPEMD-160, MDC-2, GOST R 34.11-94,[19] BLAK2, Wolpool,[20] SM3
공개키 암호화
RSA, DSA, Diffie-Hellman교환, 타원 곡선, X25519, Ed25519, X448, Ed448, GOST R 34.10-2001,[19] SM2

(완벽한 순방향 비밀은 타원곡선 Diffie-를 사용하여 지원됩니다).버전 1.0 이후 Hellman).[21]

FIPS 140 검증

FIPS 140은 암호화 모듈의 테스트 및 인증을 위한 미국 연방 프로그램입니다.OpenSSL의 FOM 1.0에 대한 초기 FIPS 140-1 인증은 "검증된 모듈과 외부 소프트웨어의 상호작용에 대한 의문이 제기되었을 때" 2006년 7월에 취소되었습니다.모듈은 FIPS 140-2로 [22]대체되기 전에 2007년 2월에 재인증을 받았습니다.OpenSSL 1.0.2는 FIPS 140-2 검증 [23][24]환경에서 FIPS 승인 알고리즘을 제공하도록 구축된 OpenSSL FIPS 객체 모듈(FOM) 사용을 지원했습니다.OpenSSL은 현재 FIPS [25]모드를 지원하는 OpenSSL의 유일한 버전이라는 반대에도 불구하고 1.0.2 아키텍처를 2019년 12월 31일부터 'End of Life' 또는 'EOL'로 분류하기로 논쟁적으로 결정했습니다.FOM 자체는 8개월 동안 유효성을 유지했지만, EOL의 결과로 많은 사용자는 FOM 2.0을 적절히 도입할 수 없었고 1.0.2 아키텍처에 대한 확장 지원을 확보하지 못했기 때문에 규정을 준수하지 못했습니다.

FIPS Object Module 2.0은 2020년 9월 1일 NIST가 디지털 서명 표준을 위한 FIPS 186-2 사용을 폐지하고 모든 비준수 모듈을 'Historical'로 지정하기 전까지 여러 형식으로 FIPS 140-2 인증을 받았습니다.이 지정에는 연방기관에 대한 새로운 조달에 모듈을 포함시키지 말 것을 경고하는 내용이 기재되어 있습니다.OpenSSL 검증은 OpenSSL FIPS 오브젝트 모듈(증명서 #1747), OpenSSL FIPS 오브젝트 모듈 SE(증명서 [27]#2398) 및 OpenSSL FIPS 오브젝트 모듈 RE(증명서 #2473)[26][28]의 3가지 모두 권장 대상에서 제외되었습니다.구글의[29] BorlingCrypto나 [30]SafeLogic의 Crypto 등 일부 FIPS 검증 모듈에서는 추천을 피했지만 컨설턴트가 작성한 OpenSSL 기반 검증 및 클론도 이력 목록으로 이동했습니다.

OpenSSL 3.0은 FIPS 모드를 복원하고 FIPS 140-2 테스트를 수행했지만 상당한 지연이 있었습니다.SafeLogic의[31][32][33] 지원과 2017년 Oracle의 [34][35]추가 지원을 통해 2016년에 처음 시작되었지만, 이 과정은 매우 [36]어려웠습니다.2020년 10월 20일 OpenSSL FIPS Provider 3.0이 CMVP Implementation Under Test List에 추가되었습니다.이 목록에는 FIPS 140-2 검증을 진행하기 위한 테스트랩과의 공식적인 계약이 반영되어 있습니다.그 결과, 그 후 몇 [37]달 동안 많은 인증이 취득되었습니다.

라이선스

OpenSSL은 OpenSSL License와 SSLeay License에 따라 이중 라이선스를 받았습니다.즉, 두 라이선스의 조건을 [38]모두 사용할 수 있습니다.OpenSSL 라이선스는 Apache License 1.0이며 SSLeay License는 4절 BSD 라이선스와 유사합니다.OpenSSL 라이선스는 Apache License 1.0이지만 Apache License 2.0은 아니므로 광고 자료 및 모든 재배포에 "이 제품에는 OpenSSL Toolkit에서 사용하기 위해 OpenSSL 프로젝트에서 개발한 소프트웨어가 포함되어 있습니다"라는 문구가 필요합니다(OpenSSL 라이선스의 섹션 3 및 6).이 제한으로 인해 OpenSSL 라이선스와 Apache License 1.0은 GNU [39]GPL과 호환되지 않습니다. 일부 GPL 개발자는 시스템에서 OpenSSL 사용을 허용하는 OpenSSL 예외를 라이센스에 추가했습니다.GNU Wget과 clim 모두 이러한 [40][41]예외를 사용합니다.일부 패키지(Deluge 등)는 예외를 [42]문서화하는 추가 섹션을 라이센스 시작 부분에 추가하여 GPL 라이센스를 명시적으로 수정합니다.다른 패키지에서는 LGPL 라이선스의 GnuTLS, BSD 라이선스의 Botan 또는 MPL 라이선스의 NSS를 사용하여 동일한 작업을 수행합니다.

OpenSSL은 2015년 8월에 대부분의 기여자가 CLA(Contributor License Agreement)에 서명해야 하며 OpenSSL은 Apache License [43]2.0의 조건에 따라 존속될 것이라고 발표했습니다.이 과정은 2017년 [44]3월에 시작되어 [45]2018년에 완료되었다.

2021년 9월 7일 OpenSSL 3.0.[46]0이 Apache License 2.0으로 출시되었습니다.

현저한 취약성

서비스 거부: ASN.1 해석

OpenSSL 0.9.6k에는 특정 ASN.1 시퀀스가 2003년 11월 4일에 Windows 머신에서 다수의 재발을 트리거하는 오류가 있습니다.Windows에서 대규모 재발을 올바르게 처리할 수 없기 때문에 OpenSSL이 크래시됩니다.임의의 다수의 ASN.1 시퀀스를 송신할 수 있으면 결과적으로 OpenSSL이 크래시 됩니다.

OCSP 스테이플링 취약성

핸드쉐이크를 작성할 때 클라이언트가 잘못된 형식의 ClientHello 메시지를 전송하여 메시지 끝보다 OpenSSL을 더 많이 해석할 수 있습니다.식별자 CVE-가 할당되었습니다.2011-0014년 CVE 프로젝트에 의해 모든 OpenSSL 버전 0.9.8h~0.9.8q 및 OpenSSL 1.0.0~1.0.0c가 영향을 받았습니다.해석으로 인해 잘못된 메모리주소를 읽을 수 있기 때문에 공격자가 DoS를 발생시킬 가능성이 있습니다.또한 일부 응용 프로그램이 해석된 OCSP 확장의 내용을 노출하여 공격자가 ClientHello [47]뒤에 오는 메모리의 내용을 읽을 수도 있습니다.

ASN.1 BIO의 취약성

Basic Input/Output(BIO)[48] 또는 FILE 기반 함수를 사용하여 신뢰할 수 없는 DER 형식 데이터를 읽을 경우 OpenSSL이 취약합니다.이 취약성은 2012년4월 19일에 발견되어 CVE ID CVE-2012-2110이 할당되었습니다.OpenSSL의 SSL/TLS 코드에 직접 영향을 주지는 않지만 ASN.1 함수(특히 d2i_X509 및 d2i_PKCS12)를 사용하고 있던 애플리케이션도 영향을 [49]받지 않았습니다.

SSL, TLS 및 DTLS 평문 복구 공격

SSL, TLS 및 DTLS에서 CBC 암호 스위트를 처리할 때 OpenSSL은 MAC 처리 중 타이밍 공격에 취약한 것으로 나타났습니다.Nadhem Alfardan과 Kenny Paterson은 이 문제를 발견하고 2013년 2월 5일 그들의 연구[50] 결과를 발표했다.취약성에 CVE 식별자 CVE-2013-0169가 할당되었습니다.

예측 가능한 개인 키(데비안 고유)

OpenSSL의 의사 난수 생성기는 복잡한 프로그래밍 방법을 사용하여 엔트로피를 획득합니다.Valgrind 분석 툴이 관련된 경고를 발행하지 않도록 Debian 디스트리뷰션의 유지관리자가 Debian의 OpenSSL 스위트 변형에 패치를 적용했습니다.OpenSSL 스위트는 생성 가능한 개인 키의 전체 수를 32,[51][52]768개로 제한하여 랜덤 번호 생성기를 실수로 중단했습니다.고장난 버전은 2006년 9월 17일 Debian 릴리스(버전 0.9.8c-1)에 포함되어 Ubuntu와 같은 다른 Debian 기반 배포판에도 영향을 미칩니다.즉시 사용할 수 있는 악용은 쉽게 사용할 [53]수 있습니다.

에러는 2008년 5월 13일에 Debian에 의해 보고되었습니다.Debian 4.0 디스트리뷰션(에치)에서는 이러한 문제가 버전 0.9.8c-4etch3에서 해결되었으며, Debian 5.0 디스트리뷰션(레니)의 수정은 버전 0.9.[54]8g-9에서 제공되었습니다.

하트블리드

주요 기사:하트블리드
하트블리드 버그를 나타내는 로고

OpenSSL 버전 1.0.1~1.0.1f에서는 TLS Heartbeat Extension 구현 시 모든 하트비트에서[55][56] 최대 64KB의 응용 프로그램 메모리를 표시하기 위해 사용할 수 있는 심각한 메모리 처리 오류가 있습니다(CVE-2014-0160).공격자는 웹 서버의 메모리를 읽음으로써 서버의 개인 [57]키를 포함한 중요한 데이터에 액세스할 수 있습니다.이를 통해 공격자는 사용된 암호화 프로토콜이 완벽한 전송 비밀을 보장하지 않는 경우 이전에 도청된 통신을 디코딩할 수 있습니다.또한 개인 키를 알면 공격자가 향후 [citation needed]통신에 대해 중간자 공격을 가할 수 있습니다.또한 이 취약성으로 인해 세션 쿠키 및 암호를 비롯한 다른 사용자의 중요한 요청 및 응답 중 암호화되지 않은 부분이 노출될 수 있으며 이를 통해 공격자는 서비스의 [58]다른 사용자의 ID를 가로챌 수 있습니다.

2014년 4월 7일 공개 당시 신뢰할 수 있는 당국에 의해 인증된 인터넷 보안서버 중 약 17% 또는 50만 대가 [59]공격에 취약한 것으로 생각되었습니다.단, Heartbleed는 서버와 클라이언트 모두에 영향을 줄 수 있습니다.

CCS 주입 취약성

CCS Injection Vulnerability(CVE-2014-0224)[60]는 키 입력에 사용되는 OpenSSL 메서드의 취약성으로 인해 발생하는 보안 바이패스 취약성입니다.

이 취약성은 man-in-the-middle [61]공격을 통해 부정 이용될 수 있으며 공격자는 전송 중인 트래픽을 복호화하고 수정할 수 있습니다.인증되지 않은 원격 공격자는 특수하게 조작된 핸드셰이크를 사용하여 약한 키 입력 자료를 강제로 사용하여 이 취약성을 이용할 수 있습니다.공격이 성공하면 공격자가 잠재적으로 중요한 정보에 액세스할 수 있는 보안 무시 상태가 발생할 수 있습니다.공격은 취약한 클라이언트와 서버 사이에서만 수행할 수 있습니다.

OpenSSL 클라이언트는 0.9.8za, 1.0.0m 및 1.0.1h 이전 버전의 OpenSSL에서는 모두 취약합니다.서버는 OpenSSL 1.0.1 및 1.0.2-beta1에서만 취약한 것으로 알려져 있습니다.1.0.1 이전 OpenSSL 서버의 사용자는 [62]예방 조치로 업그레이드할 것을 권장합니다.

ClientHello 시그널 DoS

이 취약성(CVE-2015-0291)을 통해 누구나 인증서를 가져와서 내용을 읽고 정확하게 수정하여 인증서를 클라이언트 또는 서버로 손상시키는 취약성을 악용할 수 있습니다.클라이언트가 OpenSSL 1.0.2 서버에 접속하여 비활성 시그니처 알고리즘 확장과 재네고시에이트하면 늘 포인터 디레퍼런스가 발생합니다.이로 인해 서버에 대한 DoS 공격이 발생할 수 있습니다.

스탠포드 보안 연구원인 David Ramos가 개인적으로 악용하여 OpenSSL 팀에 제출하였고, OpenSSL 팀은 문제를 해결했습니다.

OpenSSL은 버전 1.0.2가 [63]취약하다는 점을 지적하고 이 버그를 중대도가 높은 문제로 분류했습니다.

Diffie에 대한 주요 복구 공격 -헬만 소부분군

이 취약성(CVE-2016-0701)을 통해 특정 상황이 충족되면 OpenSSL 서버의 개인 Diffie를 복구할 수 있습니다.헬만 키Adobe System Security 연구원 Antonio Sanso는 이 취약성을 개인적으로 보고했습니다.

OpenSSL은 이 버그를 중대도가 높은 문제로 분류하고 1.0.2 버전만 [64]취약하다고 지적했습니다.

포크

집약 SSL

2009년, 원래의 OpenSSL API에 문제가 생긴 후, 당시 OpenBSD 개발자인 Marco Piereboom은 OpenSSL API를 후드로 재사용하는 Agglomerated SSL([65]assl)을 개발하여 원래의 API를 분리하였습니다.그것은 그 후 Libre에 비추어 볼 때 폐지되었다.2016년경 SSL 포크

LibreSSL

주요 기사: LibreSSL

2014년 4월 Heartbled를 계기로 OpenBSD 프로젝트 멤버들은 1.0.1g 브랜치부터 OpenSSL을 [66]분기하여 LibreSSL이라는 이름의 프로젝트를 만들었습니다.OpenSSL의 코드 베이스를 프루닝한 첫 주에 90,000줄 이상의 C 코드가 [67]포크에서 제거되었습니다.

보링SSL

2014년 6월, 구글은 BorlingSSL이라는 이름의 OpenSSL의 [68]포크를 발표했습니다.구글은 OpenSSL 및 Libre와 협력할 계획이다.SSL [69][70][71]개발자구글은 BorlingSSL에 [72]기반한 새로운 라이브러리인 Tink를 개발했다.

「 」를 참조해 주세요.

메모들

  1. ^ 메이저 버전 2.0.0은 OpenSSL FIPS [18]모듈에서 이전에 사용되었기 때문에 건너뛰었습니다.

레퍼런스

  1. ^ "OpenSSL: Newslog". Retrieved 7 July 2022.
  2. ^ "/source/license.html". www.openssl.org. Retrieved March 3, 2021.
  3. ^ "OpenSSL License Software Package Data Exchange (SPDX)". spdx.org.
  4. ^ Laurie, Ben (January 6, 1999). "ANNOUNCE: OpenSSL (Take 2". ssl-users (Mailing list). Retrieved October 29, 2018.
  5. ^ "New Committers". OpenSSL Software Foundation. May 20, 2019. Retrieved November 3, 2019.
  6. ^ "OpenSSL Management Committee". OpenSSL Software Foundation. Retrieved November 3, 2019.
  7. ^ "OpenSSL Committers". OpenSSL Software Foundation. Retrieved November 3, 2019.
  8. ^ Marquess, Steve (January 19, 2017). "Akamai sponsors TLS 1.3". openssl-announce (Mailing list). Retrieved November 9, 2018.
  9. ^ "OpenSSL – Changelog". OpenSSL Software Foundation. Retrieved September 26, 2016.
  10. ^ "OpenSSL – Release Strategy". OpenSSL Software Foundation. Retrieved September 26, 2016.
  11. ^ "OpenSSL 1.0.1 Series Release Notes". Archived from the original on January 20, 2015. Retrieved February 20, 2017.
  12. ^ "OpenSSL 1.0.2 Series Release Notes". Retrieved February 20, 2017.
  13. ^ a b c "Release Strategy". www.openssl.org. OpenSSL Foundation. February 25, 2019.
  14. ^ "OpenSSL 1.1.0 Series Release Notes". Retrieved February 20, 2017.
  15. ^ a b Caswell, Matt (September 11, 2018). "OpenSSL 1.1.1 Is Released". www.openssl.org. OpenSSL Foundation.
  16. ^ Caswell, Matt (February 8, 2018). "Using TLS1.3 With OpenSSL - OpenSSL Blog". www.openssl.org. OpenSSL Foundation.
  17. ^ "OpenSSL 3.0 Has Been Released! - OpenSSL Blog". www.openssl.org. Retrieved September 8, 2021.
  18. ^ a b Matt Caswell (November 28, 2018). "The Holy Hand Grenade of Antioch". OpenSSL Blog. Retrieved October 7, 2019.
  19. ^ a b c "GOST engine OpenSSL 1.0.0 README". cvs.openssl.org. Archived from the original on April 15, 2013.
  20. ^ "OpenSSL source code, directory crypto/whrlpool". GitHub. Retrieved August 29, 2017.
  21. ^ "Protecting data for the long term with forward secrecy". Retrieved November 5, 2012.
  22. ^ "NIST recertifies open source encryption module". gcn.com. Archived from the original on October 10, 2007.
  23. ^ "FIPS-140". openssl.org. Retrieved November 12, 2019.
  24. ^ "OpenSSL User Guide for the OpenSSL FIPS Object Module v2.0" (PDF). openssl.org. March 14, 2017. Retrieved November 12, 2019.
  25. ^ "Update on 3.0 Development, FIPS and 1.0.2 EOL". OpenSSL Blog. November 7, 2019.
  26. ^ "Cryptographic Module Validation Program Certificate #1747". Computer Security Resource Center. October 11, 2016.
  27. ^ "Cryptographic Module Validation Program Certificate #2398". Computer Security Resource Center. October 11, 2016.
  28. ^ "Cryptographic Module Validation Program Certificate #2473". Computer Security Resource Center. October 11, 2016.
  29. ^ "Cryptographic Module Validation Program search results". Computer Security Resource Center. October 11, 2016.
  30. ^ "Cryptographic Module Validation Program search results". Computer Security Resource Center. October 11, 2016.
  31. ^ Schneider, Troy K. (July 20, 2016). "Getting government approval of a more secure OpenSSL". GCN: Technology, Tools, and Tactics for Public Sector IT.
  32. ^ Waterman, Shaun (July 21, 2016). "SafeLogic saves the day for feds' use of OpenSSL". FedScoop.
  33. ^ Rashid, Fahmida Y. (July 26, 2016). "Reworked OpenSSL on track for government validation". InfoWorld.
  34. ^ Wells, Joyce (August 3, 2017). "Oracle, SafeLogic and OpenSSL Join Forces to Update FIPS Module". Database Trends and Applications.
  35. ^ Kerner, Sean Michael (August 4, 2017). "Oracle Joins SafeLogic to Develop FIPS Module for OpenSSL Security". eWeek.
  36. ^ "OpenSSL 3.0 Alpha7 Release". OpenSSL Blog. October 20, 2020.
  37. ^ "Cryptographic Module Validation Program: OpenSSL". Computer Security Resource Center. October 11, 2016.
  38. ^ "OpenSSL: Source, License". openssl.org.
  39. ^ "Licenses – Free Software Foundation". fsf.org.
  40. ^ "WGET 1.10.2 for Windows (win32)". users.ugent.be. Archived from the original on January 2, 2008.
  41. ^ "Releases of source and binaries". climm.org. Archived from the original on February 12, 2011. Retrieved November 30, 2010.
  42. ^ "Deluge LICENSE file". deluge-torrent.org. Retrieved January 24, 2013.
  43. ^ Salz, Rich (August 1, 2015). "License Agreements and Changes Are Coming". openssl.org. Retrieved August 23, 2015.
  44. ^ "OpenSSL Re-licensing to Apache License v. 2.0 To Encourage Broader Use with Other FOSS Projects and Products". March 23, 2017. Archived from the original on July 18, 2017. Retrieved August 6, 2018.
  45. ^ Lee, Victoria; Radcliffe, Mark; Stevenson, Chirs (5 February 2019). "Top 10 FOSS legal developments of 2018". Opensource.com, Red Hat. Archived from the original (html) on 5 February 2019. Retrieved 28 September 2019. The OpenSSL project announced that it had completed its shift from the OpenSSL/SSLeay license to the Apache Software License version 2 (ASLv2).
  46. ^ "OpenSSL 3.0 License Change". September 22, 2021. Retrieved September 24, 2021.
  47. ^ "OpenSSL Updates Fix Critical Security Vulnerabilities". August 9, 2014. Retrieved August 25, 2014.
  48. ^ "OpenSSL ASN.1 asn1_d2i_read_bio() Heap Overflow Vulnerability". Cisco.
  49. ^ "ASN1 BIO vulnerability". OpenSSL.
  50. ^ "On the Security of RC4 in TLS". Royal Holloway Department of Information Security.
  51. ^ "research!rsc: Lessons from the Debian/OpenSSL Fiasco". research.swtch.com. Retrieved August 12, 2015.
  52. ^ "SSLkeys". Debian Wiki. Retrieved June 19, 2015.
  53. ^ "Debian OpenSSL – Predictable PRNG Bruteforce SSH Exploit Python". Exploits Database. June 1, 2008. Retrieved August 12, 2015.
  54. ^ "DSA-1571-1 openssl – predictable random number generator". Debian Project. May 13, 2008.
  55. ^ OpenSSL.org (April 7, 2014). "OpenSSL Security Advisory [07 Apr 2014]". Retrieved April 9, 2014.
  56. ^ OpenSSL (April 7, 2014). "TLS heartbeat read overrun (CVE-2014-0160)". Retrieved April 8, 2014.
  57. ^ Codenomicon Ltd (April 8, 2014). "Heartbleed Bug". Retrieved April 8, 2014.
  58. ^ "Why Heartbleed is dangerous? Exploiting CVE-2014-0160". IPSec.pl. 2014. Archived from the original on April 8, 2014. Retrieved April 8, 2014.
  59. ^ Mutton, Paul (April 8, 2014). "Half a million widely trusted websites vulnerable to Heartbleed bug". Netcraft Ltd. Retrieved April 8, 2014.
  60. ^ "OpenSSL continues to bleed out more flaws – more critical vulnerabilities found". Cyberoam Threat Research Labs. 2014. Archived from the original on June 19, 2014. Retrieved June 13, 2014.
  61. ^ "CVE-2014-0224". CVE. 2014.
  62. ^ "OpenSSL Security Advisory". OpenSSL. June 5, 2014.
  63. ^ "OpenSSL Patches Severe Denial-of-Service Vulnerability". Brandon Stosh. March 20, 2015.
  64. ^ Goodlin, Dan (January 28, 2016). "High-severity bug in OpenSSL allows attackers to decrypt HTTPS traffic". Ars Technica.
  65. ^ "security/assl: assl-1.5.0p0v0 – hide awful SSL API in a sane interface". OpenBSD ports. May 22, 2014. Retrieved February 10, 2015.
  66. ^ "OpenBSD has started a massive strip-down and cleanup of OpenSSL". OpenBSD journal. April 15, 2014.
  67. ^ "OpenBSD forks, prunes, fixes OpenSSL". ZDNet. April 21, 2014. Retrieved April 21, 2014.
  68. ^ "BoringSSL". Git at Google.
  69. ^ "Google unveils independent 'fork' of OpenSSL called 'BoringSSL'". Ars Technica. June 21, 2014.
  70. ^ "BoringSSL". Adam Langley's Weblog. June 20, 2014.
  71. ^ "BoringSSL wants to kill the excitement that led to Heartbleed". Sophos. June 24, 2014.
  72. ^ Buchanan, Bill (August 30, 2018). "Goodbye OpenSSL, and Hello To Google Tink". Medium. Retrieved April 4, 2019.

외부 링크

Wikimedia Commons에는 OpenSSL 관련 미디어가 있습니다.