По итогам прошедшей в Лондоне встречи Комитета управления OpenSSL (OMC) было принято решение об изменениях в политиках шифрования. В частности, разработчики OpenSSL отключат по умолчанию незащищенные конфигурации.
В OMC пришли к выводу, что необходимо добавить возможность отключения новых алгоритмов в процессе компиляции, а новые алгоритмы шифрования должны взаимодействовать с OpenSSL только через EVP (цифровая библиотека EnVeloPe) API.
В будущем каждый новый алгоритм должен разрабатываться национальным или международным органом по стандартизации, а для активирования шифров на уровне TLS их нужно будет указывать во время выполнения.
Помимо этих изменений, работа проекта была откорректирована и по другим аспектам. В частности, принято решение отказаться от новостной рассылки для разработчиков (openssl-dev). Одна из причин – частое совпадение публикаций, предназначенных для разработчиков и для пользователей (openssl-users). Помимо того, комитет решил сделать GitHub основной площадкой для обсуждения разработок.
Обсуждение политик OpenSSL найдет отражение в новой рассылке (openssl-project), подписаться на которую может любой желающий. Публикации остаются за OMC и разработчиками. В планах приложить усилия по сокращению сроков для удаления старых задач и рефакторинга кода (изменение исходного кода программы без изменения его внешнего поведения).
С этого времени новые релизы проекта будут выходить каждую неделю по вторникам в случае отсутствия опасных уязвимостей с известными эксплоитами.
Источник: securitylab.ru