Распрацоўнікі праекту OpenBSD выпуск пераноснай рэдакцыі пакета , у рамках якога развіваецца форк OpenSSL, накіраваны на забеспячэнне больш высокага ўзроўню бяспекі. Праект LibreSSL арыентаваны на якасную падтрымку пратаколаў SSL/TLS з выдаленнем залішняй функцыянальнасці, даданнем дадатковых сродкаў абароны і правядзеннем значнай чысткі і перапрацоўкі кодавай базы. Выпуск LibreSSL 3.2.0 разглядаецца як эксперыментальны, у якім развіваюцца магчымасці, якія ўвойдуць у склад OpenBSD 6.8.
Асаблівасці LibreSSL 3.2.0:
- Уключана па змаўчанні серверная частка у дадатак да раней прапанаванай кліенцкай часткі. Рэалізацыя TLS 1.3 пабудавана на базе новага канчатковага аўтамата і падсістэмы працы з запісамі. Сумяшчальны з OpenSSL TLS 1.3 API пакуль недаступны, але ў каманду openssl дададзены звязаныя з TLS 1.3 опцыі.
- У падсістэме працы з запісамі палепшана праверка памеру палёў TLS 1.3 і забяспечаны выснова папярэджання ў выпадку перавышэння лімітаў.
- У TLS-серверы забяспечана апрацоўка толькі карэктных імёнаў хастоў у SNI, якія адпавядаюць патрабаванням RFC 5890 і RFC 6066.
- У рэалізацыі TLS 1.3 дададзена падтрымка рэжыму SSL_MODE_AUTO_RETRY для аўтаматычнай паўторнай адпраўкі паведамленняў узгаднення злучэння.
- У сервер і кліент TLS 1.3 дададзена падтрымка адпраўкі запытаў праверкі стану сертыфікатаў, выкарыстоўваючы пашырэнне (завераны які сведчыць цэнтрам адказ OCSP перадаецца абслуговым сайт серверам пры ўзгадненні TLS-злучэнні).
- Пры ўводзе/выснове ўключаны па змаўчанні рэжым SSL_MODE_AUTO_RETRY, па аналогіі з новымі выпускамі OpenSSL.
- Дададзены рэгрэсіўныя тэсты на аснове .
- У камандзе "openssl x509" забяспечана пазнака некарэктнага часу дзеяння сертыфіката.
- У TLS 1.3 з RSA дазволена выкарыстанне толькі лічбавых подпісаў PSS.
Крыніца: opennet.ru