Cette version introduit des fonctionnalités importantes et plusieurs changements potentiellement incompatibles.
Le support de SSLv2 et SSLv3, des engines, de plusieurs fonctions et options dépréciées ainsi que de certains scripts et cibles de configuration a été supprimé.
Des modifications d'API et d'implémentation comprennent l'opacité d'ASN1_STRING, l'ajout de const aux signatures de nombreuses fonctions, la suppression ou la dépréciation de fonctions d'erreur et de versions fixes SSL/TLS, et des changements dans le nettoyage global (fin de atexit, comportement d'OPENSSL_cleanup).
La sécurité et la vérification ont été renforcées via des contrôles supplémentaires pour PKCS5_PBKDF2_HMAC en FIPS, la vérification de l'AKID en mode strict X509, des contrôles CRL augmentés, ainsi que des changements de formatage (suppression d'un octet 0x00 superflu et largeur standardisée des dumps hexadécimaux) et l'utilisation de fonctions libc comme snprintf pour BIO_snprintf.
Nouvelles fonctionnalités notables : prise en charge d'Encrypted Client Hello (ECH), des algorithmes SM2/SM3 et d'un groupe hybride post‑quantique, cSHAKE, ML‑DSA‑MU, de nouveaux KDF (SNMP et SRTP), l'exécution différée des auto-tests FIPS, le choix du linkage VC runtime sous Windows et le support d'échanges FFDHE négociés en TLS 1.2.