OpenSSL 3.0 przeniósł kilka przestarzałych lub niezabezpieczonych algorytmów do wewnętrznego modułu biblioteki zwanego dostawcą legacy. Nie jest on domyślnie ładowany, dlatego aplikacje (lub ich środowiska uruchomieniowe) korzystające z OpenSSL do operacji kryptograficznych nie mogą używać takich algorytmów podczas wczytywania certyfikatów, tworzenia skrótów wiadomości itd.
Algorytmy dostawcy legacy obejmują: MD2, MD4, MDC2, RMD160, CAST5, BF (Blowfish), IDEA, SEED, RC2, RC4, RC5 oraz DES (ale nie 3DES).
Ze względów bezpieczeństwa zdecydowanie zaleca się rezygnację z używania tych starszych algorytmów.
Jeśli aplikacja korzysta z certyfikatów klienta przechowywanych w pliku zaszyfrowanym starszym szyfrem, takim jak RC2-40-CBC, istnieje możliwość „uwspółcześnienia" pliku certyfikatu przez ponowne szyfrowanie przy użyciu programu openssl.
Na przykład, jeśli na komputerze lokalnym znajduje się plik certyfikatu client.p12 (lub client.pfx):
$ openssl pkcs12 -legacy -in client.p12 -nodes -out cert-decrypted.tmp
(wprowadź hasła, jeśli zostanie wyświetlony monit)
$ openssl pkcs12 -in cert-decrypted.tmp -export -out client-new.p12
(wprowadź hasła, jeżeli zostaniesz o to poproszony)
$ rm cert-decrypted.tmp
Wyeksportowany plik certyfikatu client-new.p12 zawiera teraz te same klucze, ale zaszyfrowane przy użyciu AES-256-CBC.
Sprawdź poniżej konfigurację pakietów sgcWebSockets i sgcIndy: