OpenSSL 3.5：引领加密技术重大革新

OpenSSL 3.5 正式发布，带来了多项突破性功能改进，在加密强度、量子安全和技术架构等方面均有显著提升。

OpenSSL 3.5 更新亮点

全面采用 AES-256-CBC

OpenSSL 3.5 最显著的变化是将req、cms和smime 3 大组件的默认加密算法由传统的des-ede3-cbc升级到了更强大的aes-256-cbc。这一调整显著增强了数据加密强度，为用户带来了更高级别的安全保障。

TLS 安全升级

重构了 TLS 默认支持的组列表，重点引入并优先支持混合后量子加密（PQC）密钥封装机制（KEM）组，同时淘汰了部分不常用的组。需要开发者注意的是，TLS 默认密钥共享组（keyshares）新增了对X25519MLKEM768和X25519的支持，为密钥协商提供了更多选择。

BIO 方法革新

为了推动 BIO 层向更现代化的实现方式演进，所有BIO_meth_get_*()函数均已被标记为废弃。虽然这可能会影响部分遗留代码，但会为系统带来更好的可维护性和扩展性。

多密钥共享支持

针对企业级应用场景，OpenSSL 3.5 引入了多密钥共享支持，并优化了 TLS 密钥协商组的配置能力。这一改进为需要灵活调整加密策略的用户提供了更多可能性，特别适合复杂的企业部署环境。

QUIC 与后量子加密

• 新增了对服务器端 QUIC（RFC 9000）的原生支持，兼容第三方 QUIC 协议栈，并支持0-RTT快速握手，大大提升了连接建立效率。
• 在后量子加密方面，新增了ML-KEM、ML-DSA和SLH-DSA等多种 PQC 算法支持，提前布局量子计算时代的安全防护。

新增配置选项

新版本引入了多项实用的配置选项，为用户提供了更精细的安全控制能力。例如：

• no-tls-deprecated-ec：禁用 RFC8422 中标记为过时的 TLS 曲线组。
• enable-fips-jitter：为 FIPS 提供者添加 JITTER 随机种子源。

密钥管理与性能优化

• 针对大规模部署需求，OpenSSL 3.5 提供了集中密钥生成功能（CMP）和对称密钥对象（EVP_SKEY）支持，简化了密钥管理流程。
• 同时，通过为加密算法加入流水线处理（pipelining）API 支持，显著提升了高性能应用的执行效率。

已知问题说明

当前版本存在一个已知问题：当调用SSL_accept处理从SSL_accept_connection返回的对象时，可能会出现握手失败的情况。建议开发者暂时改用SSL_do_handshake作为替代方案。官方表示，会在 OpenSSL 3.5.1 中修复此问题。