OpenSSL 3.0 a déplacé plusieurs algorithmes dépréciés ou non sécurisés dans un module de bibliothèque interne appelé fournisseur legacy. Il n'est pas chargé par défaut, donc les applications (ou leurs environnements d'exécution de langage) qui utilisent OpenSSL pour des opérations cryptographiques ne peuvent pas utiliser de tels algorithmes lors du chargement de certificats, de la création de résumés de messages...
Les algorithmes du fournisseur hérité incluent MD2, MD4, MDC2, RMD160, CAST5, BF (Blowfish), IDEA, SEED, RC2, RC4, RC5 et DES (mais pas 3DES).
Pour des raisons de sécurité, il est fortement recommandé d'abandonner l'utilisation de ces algorithmes hérités.
Si votre application utilise des certificats client stockés dans un fichier chiffré avec un algorithme obsolète comme RC2-40-CBC, il est possible de « moderniser » le fichier de certificat en le rechiffrant à l'aide du programme openssl.
Par exemple, si vous disposez d'un fichier de certificat client.p12 (ou client.pfx) sur votre ordinateur local :
$ openssl pkcs12 -legacy -in client.p12 -nodes -out cert-decrypted.tmp
(saisissez les phrases de passe si demandé)
$ openssl pkcs12 -in cert-decrypted.tmp -export -out client-new.p12
(enter passphrases if prompted)
$ rm cert-decrypted.tmp
Le fichier de certificat client-new.p12 exporté contient désormais les mêmes clés, mais chiffrées avec AES-256-CBC.
Vérifiez ci-dessous la configuration pour les paquets sgcWebSockets et sgcIndy :