OpenSSL 4.0 发布：增强隐私保护、支持后量子密码学、清理遗留技术

4 月 15 日消息，OpenSSL 4.0 昨日（4 月 14 日）正式发布，该开源项目已向现代化安全架构迈出关键一步，新版聚焦于隐私保护增强、后量子密码学支持以及清理遗留技术三大核心方向。

在隐私保护方面，OpenSSL 4.0 引入支持 Encrypted Client Hello（加密客户端问候），通过加密初始 TLS 握手过程，有效隐藏 Server Name Indication（服务器名称指示），防止第三方监听者获取用户访问的具体域名信息。

ECH 是指加密客户端问候协议，用于加密 TLS 握手中的初始 Client Hello 消息。在传统 TLS 连接中，服务器名称指示以明文传输，导致第三方可窥探用户访问的域名。ECH 通过加密这一关键字段，有效防止了网络监听者的域名隐私泄露，显著提升了用户上网隐私保护水平。

针对未来安全挑战，新版本大幅改进支持后量子密码学，实现支持 RFC 8998 标准，并引入 ML-DSA-MU 与 tls-hybrid-sm2-mlkem 后量子组，从而更好应对量子计算发展可能带来的加密破解风险。

RFC 8998 是一项由中国推动的国际标准，定义了商密算法在 TLS 1.3 协议中的应用规范。该标准允许在 TLS 握手中使用 SM2、SM3、SM4 等国密算法，为需要符合国内密码法规的场景提供了标准化实现路径。

OpenSSL 4.0 还清理了多项遗留技术，包括移除了 SSLv3 及其他旧协议支持，删除了 SSLv2 Client Hello 与引擎机制。新版还精简编译目标平台，移除支持 Darwin i386 及 PowerPC / PPC64 架构，促使开发者迁移至更现代的技术栈。

OpenSSL 是一个开源的、工业级的密码学安全函数库，广泛用于实现网络通信中的 SSL / TLS 协议（如 HTTPS），并提供丰富的加密算法（如 RSA、AES）和密钥 / 证书管理工具。

它是现代互联网安全通信（如网站加密、VPN）的基石，主要功能包括生成私钥、创建证书签名请求（CSR）、配置 CA 和证书校验。

附上参考地址

OpenSSL 4.0.0