OpenSSL 3.0 hat mehrere veraltete oder unsichere Algorithmen in ein internes Bibliotheksmodul namens Legacy Provider verschoben. Es wird standardmäßig nicht geladen, sodass Apps (oder ihre Sprachlaufzeiten), die OpenSSL für kryptografische Operationen verwenden, solche Algorithmen beim Laden von Zertifikaten, beim Erstellen von Message Digests usw. nicht verwenden können.
Algorithmen im Legacy-Provider umfassen MD2, MD4, MDC2, RMD160, CAST5, BF (Blowfish), IDEA, SEED, RC2, RC4, RC5 und DES (aber nicht 3DES).
Aus Sicherheitsgründen wird dringend empfohlen, die Verwendung dieser veralteten Algorithmen einzustellen.
Wenn Ihre Anwendung Client-Zertifikate verwendet, die in einer Datei gespeichert sind, die mit einem Legacy-Cipher wie RC2-40-CBC verschlüsselt ist, ist es möglich, die Zertifikatsdatei zu "modernisieren", indem sie mit dem openssl-Programm neu verschlüsselt wird.
Zum Beispiel, wenn Sie eine client.p12- (oder client.pfx-)Zertifikatsdatei auf Ihrem lokalen Computer haben:
$ openssl pkcs12 -legacy -in client.p12 -nodes -out cert-decrypted.tmp
(geben Sie die Passphrasen ein, wenn Sie dazu aufgefordert werden)
$ openssl pkcs12 -in cert-decrypted.tmp -export -out client-new.p12
(enter passphrases if prompted)
$ rm cert-decrypted.tmp
Die exportierte Zertifikatsdatei client-new.p12 enthält nun dieselben Schlüssel, jedoch mit AES-256-CBC verschlüsselt.
Prüfen Sie unten die Konfiguration für die sgcWebSockets- und sgcIndy-Pakete: