OpenSSL 3.0 heeft verschillende verouderde of onveilige algoritmen verplaatst naar een intern bibliotheekmodule genaamd legacy provider. Deze wordt niet standaard geladen, zodat apps (of hun taalruntimes) die OpenSSL gebruiken voor cryptografische bewerkingen dergelijke algoritmen niet kunnen gebruiken bij het laden van certificaten, het maken van berichtsamenvattingen, ...
Algoritmen in de legacy-provider zijn onder meer MD2, MD4, MDC2, RMD160, CAST5, BF (Blowfish), IDEA, SEED, RC2, RC4, RC5 en DES (maar niet 3DES).
Om veiligheidsredenen wordt het sterk aanbevolen het gebruik van deze verouderde algoritmen te stoppen.
If uw application utilizes client certificates stored in a file versleuteld with a legacy cipher dergelijke as RC2-40-CBC, it is possible to "modernize" het certificaat file by re-encrypting it using the openssl program.
Als u bijvoorbeeld een client.p12- (of client.pfx-)certificaatbestand op uw lokale computer heeft:
$ openssl pkcs12 -legacy -in client.p12 -nodes -out cert-decrypted.tmp
(voer wachtzinnen in indien gevraagd)
$ openssl pkcs12 -in cert-decrypted.tmp -export -out client-new.p12
(voer wachtzinnen in indien gevraagd)
$ rm cert-decrypted.tmp
Het geëxporteerde client-new.p12-certificaatbestand bevat nu dezelfde sleutels, maar versleuteld met AES-256-CBC.
Controleer hieronder de configuratie voor sgcWebSockets- en sgcIndy-pakketten: