ProHoster > Blog > Internetnachrichten > Veröffentlichung der kryptografischen Bibliothek LibreSSL 3.2.0

Veröffentlichung der kryptografischen Bibliothek LibreSSL 3.2.0

OpenBSD-Projektentwickler eingereicht Veröffentlichung einer portablen Edition des Pakets LibreSSL 3.2.0, innerhalb dessen ein Fork von OpenSSL entwickelt wird, der ein höheres Maß an Sicherheit bieten soll. Das LibreSSL-Projekt konzentriert sich auf eine qualitativ hochwertige Unterstützung der SSL/TLS-Protokolle durch die Entfernung unnötiger Funktionen, das Hinzufügen zusätzlicher Sicherheitsfunktionen und eine erhebliche Bereinigung und Überarbeitung der Codebasis. Die Version LibreSSL 3.2.0 gilt als experimentelle Version, die Funktionen entwickelt, die in OpenBSD 6.8 enthalten sein werden.

Funktionen von LibreSSL 3.2.0:

  • Serverseitig standardmäßig aktiviert TLS 1.3 zusätzlich zum zuvor vorgeschlagenen Kundenteil. Die Implementierung von TLS 1.3 basiert auf einer neuen Zustandsmaschine und einem Subsystem für die Arbeit mit Datensätzen. Eine mit OpenSSL TLS 1.3 kompatible API ist noch nicht verfügbar, dem Befehl openssl wurden jedoch TLS 1.3-bezogene Optionen hinzugefügt.
  • Im Datensatzverarbeitungs-Subsystem wurde die Prüfung der TLS 1.3-Feldgröße verbessert und es wird eine Warnung angezeigt, wenn Grenzwerte überschritten werden.
  • Der TLS-Server stellt sicher, dass nur gültige Hostnamen im SNI verarbeitet werden, die den Anforderungen von RFC 5890 und RFC 6066 entsprechen.
  • Die TLS 1.3-Implementierung fügte Unterstützung für den SSL_MODE_AUTO_RETRY-Modus hinzu, um Verbindungsaushandlungsnachrichten automatisch erneut zu senden.
  • Der TLS 1.3-Server und -Client haben Unterstützung für das Senden von Anforderungen zur Überprüfung des Zertifikatsstatus mithilfe der Erweiterung hinzugefügt OCSP-Heften (Eine von einer Zertifizierungsstelle zertifizierte OCSP-Antwort wird vom Server, der die Site bedient, beim Aushandeln einer TLS-Verbindung übermittelt.)
  • Wenn I/O standardmäßig aktiviert ist, ist SSL_MODE_AUTO_RETRY aktiviert, ähnlich wie bei neuen Versionen von OpenSSL.
  • Regressionstests basierend auf hinzugefügt tlsfuzzer.
  • Der Befehl „openssl x509“ gibt einen Hinweis auf ein falsches Zertifikatsablaufdatum.
  • TLS 1.3 mit RSA erlaubt nur digitale PSS-Signaturen.

Source: opennet.ru

Kommentar hinzufügen