Az OpenSSL projekt csapata közel hat hónappal a 3.5-ös verzió után július végén bejelentette, hogy készen áll a 3.6-os verzió — egy nagyobb funkciófrissítés, amely mélyebb változásokat hoz a kriptográfiakezelésben, a megfelelőségben és az eszköztámogatásban. Az új verzió már nem csupán kisebb finomításokat tartalmaz — az alapokhoz nyúltak hozzá. Egy új szemlélet jelenik meg a kulcskezelésben: a PKEY objektumokhoz mostantól NIST-besorolás alkalmazható, ami segíti a fejlesztőket abban, hogy egyértelműbben határozzák meg a kriptográfiai erősséget. Emellett a verzió bevezeti EVP_SKEY opaque symmetric key objektumokat — ez lehetővé teszi a szimmetrikus kulcsok „elfedését” (opaque módon való kezelését), új API-ként a EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY() és EVP_PKEY_derive_SKEY() is bekerültek. A kriptográfiai megfelelőség is lépést tart: az LMS (Leighton-Micali Signature) aláírásellenőrzés most már elérhető mind a default, mind a FIPS providerben. Ez fontos újítás, hiszen az LMS modern kvantumrezisztens aláírási séma, és beépítésével az OpenSSL 3.6 növeli a biztonságos aláírási lehetőségek skáláját. Továbbá bevezetik a determinisztikus ECDSA aláírás-generálást (a FIPS 186-5 szabványnak megfelelően) a FIPS providerbe, ezáltal kiszámíthatóbban és biztonságosabban használható ECDSA aláírás generálás is támogatott.

Az eszközök oldalán is látható újítás: az új openssl configutl segédprogram lehetővé teszi, hogy OpenSSL konfigurációs fájlokat olvassunk be, feldolgozzunk, és egyenértékű konfigurációs kimenetet generáljunk — tehát segít az adminisztrátoroknak validálni és áttekinteni a beállításokat.

Azonban nem minden változás marad „háttérben” — több visszafelé kompatibilitást érintő módosítás is bekerült:

• Az ANSI-C eszközkészlet már nem elegendő: mostantól C-99 kompatibilis fordítóra van szükség a buildeléshez.
• Visszavonták a támogatást a VxWorks platformok számára, jelezve, hogy az OpenSSL célja a kevésbé használatos platformok fokozatos leválasztása.
• Több régi, EVP_PKEY_ASN1_METHOD-hez kapcsolódó függvényt deprekáltak (jelzik, hogy elavultnak számítanak), ami kódfrissítést igényel a meglévő rendszerekben.

Az OpenSSL 3.6 jelenleg alfa állapotban érhető el — az „openssl-3.6.0-alpha1” kiadás már megtalálható a forráskód-tárolóban.

A hivatalos bejelentés és az ütemezés alapján: a feature freeze augusztus 19-én volt, a 3.6 alfa változat szeptember 2-án jelent meg, a béta kiadás szeptember 16-án, és a végleges 3.6-os változat 2025. október 1-jén van ütemezve.

Milyen hatással lehet ez a változás?

Ez a verzió nem pusztán egy „újabb kiadás” — sok esetben átalakításokat hoz, amelyek befolyásolhatják a meglévő kódot vagy rendszereket. Néhány megfontolandó pont:

1. Kódfrissítés szükségessége
   Az EVP_PKEY_ASN1_METHOD-hez kapcsolódó függvények deprekálása azt jelenti, hogy a régi stílusú kódoknak frissítésre lehet szükségük. Akik ezekre a régi API-okra támaszkodnak, érdemes időben elkezdeni a migrációt.

2. Fordítók és buildkörnyezetek
   Ha valamilyen régebbi vagy korlátozott C fordítót használ a projekt (például olyat, ami nem támogatja C-99 szabványt), akkor az átállás problémákat okozhat. Érdemes ellenőrizni, hogy a buildkörnyezet megfelel-e az új követelményeknek.

3. Platformtámogatás változása
   VxWorks platformon futó alkalmazásoknak alternatív megoldásokat kell keresniük, mert az OpenSSL 3.6-tól már nem támogatott az adott platform.

4. Új funkciók kihasználása
   Az új PKEY NIST kategóriák, az opaque kulcskezelés és a determinisztikus ECDSA aláírás lehetőségei új, korszerűbb megközelítéseket tesznek lehetővé a kriptográfiai kódok tervezésében és bizalmi modelljében. Ha valaki új rendszert épít, érdemes ezeket az új lehetőségeket használni.

5. Kompatibilitás és átállás
   Mivel az 3.5-ös verzió még LTS (long-term support) státusszal bír, azok a projektek, amelyek stabilitást és hosszú támogatást igényelnek, esetleg nem váltanak azonnal 3.6-ra, hanem fokozatos átállást terveznek.

Letöltések