OpenVPN foi rebaseado para a versão 2.4.3. Esta atualização adiciona muitas melhorias, notavelmente melhorando suporte de criptografia de curva elíptica (ECDH), suporte para`AES-GCM` e camada de criptografia adicional do canal de controle (a opção --tls-crypt), e um tipo de negociação de cifra que permite a atualização gradual das cifras do cliente para outras mais fortes sem complexidade adicional significativa. Além disso, agora existe um IP e uma porta de cliente integrados, permitindo que os clientes alterem seu endereço IP ou porta sem ter que renegociar totalmente um túnel estabelecido.

Para obter uma lista completa das alterações nesta versão, consulte o changelog upstream no GitHub.

A integração geral com o systemd também foi aprimorada e o systemd agora pode gerenciar melhor os processos OpenVPN. Esta atualização vem com novos arquivos de unidade systemd, que adicionam proteção de segurança adicional. Esses novos arquivos de unidade são preferidos ao antigo arquivo openvpn@.service. Os mesmos arquivos de unidade são usados em outras distribuições do Linux que usam o systemd, garantindo um comportamento e uso mais consistentes entre os diferentes sistemas baseados no systemd. Veja a documentação instalada em /usr/share/doc/openvpn/README.systemd para mais informações sobre este tópico.

Em outras mudanças, a verificação da Lista de Revogação de Certificados (CRL) agora é feita por bibliotecas SSL diretamente. Essas bibliotecas têm uma política de aceitação muito mais rígida do que a abordagem usada anteriormente no OpenVPN. Por exemplo, se o seu arquivo CRL expirou, isso terá um impacto em todos os usuários, independentemente de seus certificados serem revogados ou não.

Além disso, o OpenVPN no Fedora 26 atualmente usa os pacotes de compatibilidade compat-openssl10 e compat-openssl10-pkcs11-helper, que são considerados uma solução alternativa até que testes mais completos possam ser feitos no OpenSSL 1.1 , que só foi introduzido no OpenVPN recentemente. Em uma atualização posterior, o pacote OpenVPN deve ser atualizado para fazer uso da biblioteca openssl-1.1 mais recente.