OpenBSD Projektaj Programistoj liberigo de portebla eldono de la pakaĵo , ene de kiu forko de OpenSSL estas evoluigita, celita provizi pli altan nivelon de sekureco. La LibreSSL-projekto koncentriĝas pri altkvalita subteno por la SSL/TLS-protokoloj per forigo de nenecesa funkcieco, aldonado de kromaj sekurecaj funkcioj kaj signife purigado kaj reverkado de la koda bazo. La eldono de LibreSSL 3.2.0 estas konsiderata kiel eksperimenta eldono, kiu disvolvas funkciojn, kiuj estos inkluzivitaj en OpenBSD 6.8.
Trajtoj de LibreSSL 3.2.0:
- Servila flanko ebligita defaŭlte krom la antaŭe proponita klientparto. La efektivigo de TLS 1.3 estas konstruita surbaze de nova ŝtatmaŝino kaj subsistemo por labori kun rekordoj. OpenSSL TLS 1.3-kongrua API ankoraŭ ne haveblas, sed rilataj opcioj de TLS 1.3 estis aldonitaj al la komando openssl.
- En la rekorda pretiga subsistemo, TLS 1.3-kampgranda kontrolado estis plibonigita kaj averto montriĝas se limoj estas superitaj.
- La TLS-servilo certigas, ke nur validaj gastigantnomoj en SNI, kiuj konformas al la postuloj de RFC 5890 kaj RFC 6066, estas prilaboritaj.
- La efektivigo de TLS 1.3 aldonis subtenon por la reĝimo SSL_MODE_AUTO_RETRY por aŭtomate resendi mesaĝojn pri konekto-intertraktado.
- La servilo kaj kliento TLS 1.3 aldonis subtenon por sendado de petoj pri kontrolo de atestilo per la etendaĵo (respondo de OCSP atestita de atestadaŭtoritato estas elsendita de la servilo servanta la retejon dum negocado de TLS-konekto).
- Kiam I/O estas ebligita defaŭlte, SSL_MODE_AUTO_RETRY estas ebligita, simile al novaj eldonoj de OpenSSL.
- Aldonitaj regresaj testoj bazitaj sur .
- La komando "openssl x509" provizas indikon pri malĝusta atestildato.
- TLS 1.3 kun RSA permesas nur PSS-ciferecajn subskribojn.
fonto: opennet.ru