ProHoster > Blog > ειδήσεις στο διαδίκτυο > Έκδοση κρυπτογραφικής βιβλιοθήκης LibreSSL 3.2.0

Έκδοση κρυπτογραφικής βιβλιοθήκης LibreSSL 3.2.0

OpenBSD Project Developers παρουσιάζονται έκδοση μιας φορητής έκδοσης του πακέτου LibreSSL 3.2.0, εντός του οποίου αναπτύσσεται ένα fork του OpenSSL, με στόχο την παροχή υψηλότερου επιπέδου ασφάλειας. Το έργο LibreSSL επικεντρώνεται στην υποστήριξη υψηλής ποιότητας για τα πρωτόκολλα SSL/TLS, αφαιρώντας περιττές λειτουργίες, προσθέτοντας πρόσθετες λειτουργίες ασφαλείας και καθαρίζοντας και εκ νέου επεξεργασία της βάσης του κώδικα. Η έκδοση LibreSSL 3.2.0 θεωρείται μια πειραματική έκδοση που αναπτύσσει λειτουργίες που θα συμπεριληφθούν στο OpenBSD 6.8.

Χαρακτηριστικά του LibreSSL 3.2.0:

  • Η πλευρά του διακομιστή είναι ενεργοποιημένη από προεπιλογή TLS 1.3 εκτός από το προηγουμένως προτεινόμενο τμήμα πελάτη. Η υλοποίηση του TLS 1.3 βασίζεται σε μια νέα μηχανή κατάστασης και ένα υποσύστημα για εργασία με εγγραφές. Ένα API συμβατό με OpenSSL TLS 1.3 δεν είναι ακόμη διαθέσιμο, αλλά οι σχετικές με το TLS 1.3 επιλογές έχουν προστεθεί στην εντολή openssl.
  • Στο υποσύστημα επεξεργασίας αρχείων, ο έλεγχος μεγέθους πεδίου TLS 1.3 έχει βελτιωθεί και εμφανίζεται μια προειδοποίηση σε περίπτωση υπέρβασης των ορίων.
  • Ο διακομιστής TLS διασφαλίζει ότι υποβάλλονται σε επεξεργασία μόνο έγκυρα ονόματα κεντρικών υπολογιστών στο SNI που συμμορφώνονται με τις απαιτήσεις των RFC 5890 και RFC 6066.
  • Η υλοποίηση TLS 1.3 πρόσθεσε υποστήριξη για τη λειτουργία SSL_MODE_AUTO_RETRY για αυτόματη εκ νέου αποστολή μηνυμάτων διαπραγμάτευσης σύνδεσης.
  • Ο διακομιστής TLS 1.3 και ο πελάτης πρόσθεσαν υποστήριξη για την αποστολή αιτημάτων ελέγχου κατάστασης πιστοποιητικού χρησιμοποιώντας την επέκταση Συρραφή OCSP (μια απόκριση OCSP που πιστοποιείται από μια αρχή πιστοποίησης μεταδίδεται από τον διακομιστή που εξυπηρετεί τον ιστότοπο κατά τη διαπραγμάτευση μιας σύνδεσης TLS).
  • Όταν το I/O είναι ενεργοποιημένο από προεπιλογή, το SSL_MODE_AUTO_RETRY είναι ενεργοποιημένο, παρόμοια με τις νέες εκδόσεις του OpenSSL.
  • Προστέθηκαν δοκιμές παλινδρόμησης με βάση tlsfuzzer.
  • Η εντολή "openssl x509" παρέχει μια ένδειξη λανθασμένης ημερομηνίας λήξης του πιστοποιητικού.
  • Το TLS 1.3 με RSA επιτρέπει μόνο ψηφιακές υπογραφές PSS.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο