OpenBSD-projekontwikkelaars vrystelling van 'n draagbare uitgawe van die pakket , waarbinne 'n vurk van OpenSSL ontwikkel word, wat daarop gemik is om 'n hoër vlak van sekuriteit te bied. Die LibreSSL-projek is gefokus op ondersteuning van hoë gehalte vir die SSL/TLS-protokolle deur onnodige funksionaliteit te verwyder, bykomende sekuriteitskenmerke by te voeg en die kodebasis aansienlik skoon te maak en te herwerk. Die LibreSSL 3.2.0-vrystelling word beskou as 'n eksperimentele vrystelling wat kenmerke ontwikkel wat in OpenBSD 6.8 ingesluit sal word.
Kenmerke van LibreSSL 3.2.0:
- Bedienerkant is by verstek geaktiveer bykomend tot die voorheen voorgestelde kliëntdeel. Die implementering van TLS 1.3 is gebou op die basis van 'n nuwe staatsmasjien en 'n substelsel om met rekords te werk. 'n OpenSSL TLS 1.3-versoenbare API is nog nie beskikbaar nie, maar TLS 1.3-verwante opsies is by die openssl-opdrag gevoeg.
- In die rekordverwerkingsubstelsel is TLS 1.3-veldgroottekontrole verbeter en 'n waarskuwing word vertoon indien limiete oorskry word.
- Die TLS-bediener verseker dat slegs geldige gasheername in SNI wat aan die vereistes van RFC 5890 en RFC 6066 voldoen, verwerk word.
- Die TLS 1.3-implementering het ondersteuning bygevoeg vir die SSL_MODE_AUTO_RETRY-modus om verbindingsonderhandelingsboodskappe outomaties weer te stuur.
- Die TLS 1.3-bediener en kliënt het ondersteuning bygevoeg vir die stuur van sertifikaatstatuskontrole-versoeke met behulp van die uitbreiding ('n OCSP-reaksie wat deur 'n sertifiseringsowerheid gesertifiseer is, word oorgedra deur die bediener wat die webwerf bedien wanneer 'n TLS-verbinding beding word).
- Wanneer I/O by verstek geaktiveer is, is SSL_MODE_AUTO_RETRY geaktiveer, soortgelyk aan nuwe vrystellings van OpenSSL.
- Bygevoeg regressie toetse gebaseer op .
- Die "openssl x509" opdrag verskaf 'n aanduiding van 'n verkeerde sertifikaat vervaldatum.
- TLS 1.3 met RSA laat slegs digitale PSS-handtekeninge toe.
Bron: opennet.ru