.
O OpenSSL 1.1.1 chegou ao fim de sua vida útil, tornando a mudança para uma versão posterior essencial para todos, exceto aqueles com bolsos extremamente fundos.
OpenSSL 1.1.1 foi originalmente lançado em 2018 como uma versão Long Term Support (LTS) da biblioteca de comunicação segura de código aberto. Na época, a equipe por trás dele declarou que teria suporte por pelo menos cinco anos, e aqui estamos. O machado balançou.
A menos, é claro, que você tenha fundos disponíveis para pagar um pouco mais de apoio. A Contrato de suporte anual de US$ 50.000 destinado a empresas pode ser adquirido por empresas que não estão prontas para migrar para a próxima versão LTS – o OpenSSL 3.0 deve ser válido até 2026.
Esse contrato de suporte é um tanto aberto – o OpenSSL observa que ele “fornece suporte estendido para versões LTS (incluindo 1.0.2) além da data EOL pública, enquanto for comercialmente viável fazê-lo”. Também inclui correções de segurança.
Efetivamente, as empresas estariam pagando para que os mantenedores e autores do OpenSSL continuassem trabalhando com o código antigo e mofado.
Uma mudança para o LTS OpenSSL 3.0 ou a versão mais recente 3.1 – embora só seja suportada até 2025 – é, portanto, necessária para continuar a receber suporte do OpenSSL. A equipe observou que os períodos de suporte oferecidos por terceiros – como fornecedores de sistemas operacionais – podem ser diferentes, mas isso é tudo no que diz respeito ao projeto OpenSSL.
A migração para uma versão posterior do OpenSSL acarreta riscos e perigos, e alguns serviços que dependem do OpenSSL podem reagir mal a uma atualização.
Em seu documento de migraçãoo projeto OpenSSL observa: “Qualquer aplicativo que atualmente usa uma versão mais antiga do OpenSSL precisará, no mínimo, ser recompilado para funcionar com a nova versão.”
O projeto também admitiu que embora a intenção fosse que a grande maioria das aplicações funcionasse inalterada com OpenSSL, não havia garantias e “algumas alterações podem ser necessárias em alguns casos”.
O impacto da aposentadoria não deve ser subestimado e rapidamente mostrará componentes que foram codificados para esperar serviços OpenSSL. Dispositivos IoT, por exemplo, vêm à mente sem esforço.
O fim do suporte, porém, não significa que o componente irá parar de funcionar repentinamente. Em vez disso, ele se tornará um alvo cada vez mais atraente para lançadores de malware à medida que as atualizações de segurança pararem e as organizações que realmente deveriam ter planejado para este dia se encontrarem expostas ou recebendo um cheque de US$ 50.000. ®
.
