Издаване на криптографска библиотека LibreSSL 3.2.0

Разработчици на OpenBSD проекти представени пускане на преносимо издание на пакета LibreSSL 3.2.0, в рамките на който се разработва форк на OpenSSL, насочен към осигуряване на по-високо ниво на сигурност. Проектът LibreSSL е фокусиран върху висококачествена поддръжка за SSL/TLS протоколите чрез премахване на ненужната функционалност, добавяне на допълнителни функции за сигурност и значително почистване и преработване на кодовата база. Версията LibreSSL 3.2.0 се счита за експериментална версия, която разработва функции, които ще бъдат включени в OpenBSD 6.8.

Характеристики на LibreSSL 3.2.0:

• Страната на сървъра е активирана по подразбиране TLS 1.3 в допълнение към предварително предложената клиентска част. Реализацията на TLS 1.3 е изградена на базата на нова държавна машина и подсистема за работа със записи. API, съвместим с OpenSSL TLS 1.3, все още не е наличен, но свързаните с TLS 1.3 опции са добавени към командата openssl.
• В подсистемата за обработка на записи проверката на размера на полето TLS 1.3 е подобрена и се показва предупреждение, ако ограниченията са превишени.
• TLS сървърът гарантира, че се обработват само валидни имена на хостове в SNI, които отговарят на изискванията на RFC 5890 и RFC 6066.
• Реализацията на TLS 1.3 добави поддръжка за режима SSL_MODE_AUTO_RETRY за автоматично повторно изпращане на съобщения за преговори за връзка.
• Сървърът и клиентът на TLS 1.3 добавиха поддръжка за изпращане на заявки за проверка на състоянието на сертификата чрез разширението OCSP телбод (OCSP отговор, сертифициран от сертифициращ орган, се предава от сървъра, обслужващ сайта, когато се договаря TLS връзка).
• Когато I/O е активиран по подразбиране, SSL_MODE_AUTO_RETRY е активиран, подобно на новите версии на OpenSSL.
• Добавени регресионни тестове, базирани на tlsfuzzer.
• Командата "openssl x509" предоставя индикация за неправилна дата на изтичане на сертификата.
• TLS 1.3 с RSA позволява само PSS цифрови подписи.

Източник: opennet.ru