피드로 돌아가기
Hacker NewsHacker News
Security

레거시 프로토콜 제거와 API 불투명화를 통한 OpenSSL 보안 강화

OpenSSL 4.0.0

2026년 4월 14일2advanced

AI 요약

Context

SSLv2, SSLv3 등 노후화된 프로토콜의 지속적인 유지보수 비용 발생. 내부 구조 노출로 인한 캡슐화 부족 및 최신 표준 미준수 사례 존재.

Technical Solution

  • SSLv2 및 SSLv3 지원 완전 제거를 통한 공격 표면 축소
  • ASN1_STRING 및 ERR_STATE 객체의 Opaque 타입 전환으로 내부 구현 은닉 및 캡슐화 강화
  • libc의 snprintf() 활용을 통한 BIO_snprintf() 내부 구현 단순화 및 표준화
  • const 한정자 적용을 통한 API 인터페이스의 불변성 보장 및 타입 안정성 확보
  • X509_check_certificate_times() 통합으로 분산된 시간 비교 로직의 단일화
  • RFC 8422 기반의 Deprecated EC Curves 및 Explicit EC Curves의 컴파일 타임 기본 비활성화 처리

실천 포인트

1. 레거시 프로토콜(SSLv2/v3) 및 Engine API 의존성 제거 여부 확인

2. 내부 데이터 구조를 Opaque 타입으로 전환하여 API 하위 호환성 및 유연성 확보

3. 표준 라이브러리(libc) 함수 대체 가능 여부를 검토하여 자체 구현 코드 최소화

태그

#Cryptography#API Refactoring#Opaque Type#TLS#OpenSSL
원문 읽기