OpenSSL 3.0 ha spostato diversi algoritmi deprecati o non sicuri in un modulo di libreria interno denominato legacy provider. Non viene caricato per impostazione predefinita, quindi le applicazioni (o i relativi runtime di linguaggio) che utilizzano OpenSSL per operazioni crittografiche non possono utilizzare tali algoritmi durante il caricamento dei certificati, la creazione di message digest...
Gli algoritmi nel provider legacy includono MD2, MD4, MDC2, RMD160, CAST5, BF (Blowfish), IDEA, SEED, RC2, RC4, RC5 e DES (ma non 3DES).
Per motivi di sicurezza, si raccomanda vivamente di abbandonare l'utilizzo di questi algoritmi legacy.
Se l'applicazione utilizza certificati client memorizzati in un file crittografato con un cifrario legacy come RC2-40-CBC, è possibile "modernizzare" il file del certificato ri-crittografandolo con il programma openssl.
Ad esempio, se si dispone di un file certificato client.p12 (o client.pfx) sul computer locale:
$ openssl pkcs12 -legacy -in client.p12 -nodes -out cert-decrypted.tmp
(inserire le passphrase se richiesto)
$ openssl pkcs12 -in cert-decrypted.tmp -export -out client-new.p12
(inserire le passphrase se richieste)
$ rm cert-decrypted.tmp
Il file di certificato client-new.p12 esportato contiene ora le stesse chiavi, ma cifrate con AES-256-CBC.
Verificare di seguito la configurazione per i pacchetti sgcWebSockets e sgcIndy: