OpenSSL 3.5 LTS：QUIC 服务器支持和后量子加密在长期发布中落地

关键更新

OpenSSL 3.5（最终版/LTS）已发布。该版本引入了原生服务器端 QUIC 支持、初步的后量子密码学原语（ML‑KEM、ML‑DSA、SLH‑DSA）、不透明的对称密钥对象（EVP_SKEY）、改进的 TLS 密钥共享和组配置能力，以及针对长期稳定性和安全性的各种 API/配置新增。这被指定为 LTS 版本，支持到 2030 年 4 月 8 日。

为什么这很重要

OpenSSL 是许多系统包和运行时的 TLS/加密基础；一个稳定的 LTS 版本添加了服务器端 QUIC 和 PQC 原语，具有立竿见影的实用性，而非理论性。对于运营商和平台工程师来说，这意味着主流的 OpenSSL 使用者（如 web 服务器、代理、语言运行时和容器镜像）现在有了一个上游的、受支持的实现，可以在启用 QUIC 或实验后量子算法时进行构建——而无需等待特定供应商的分支。迁移影响是显而易见的：发行版和下游项目需要打包和推出 3.5（或修补的安全点版本），与 OpenSSL 关联的本地模块可能需要重新编译，TLS 配置应在新选项下进行验证（密钥共享/组控制，EVP_SKEY 使用）。对于安全团队来说，PQC 的新增功能对于测试和原型设计混合的 PQC+经典 TLS 设置非常有用，但生产环境的采用仍需要互操作性、合规检查和仔细的密钥管理规划。总体而言，3.5 将 QUIC 和 PQC 从小众集成推向主流 OpenSSL 生命周期——如果您的技术栈依赖 OpenSSL 进行 TLS 或加密操作，请准备 CI、本地构建和阶段验证。

来源

• 来源