ProHoster > Blog > noticias de internet > Lanzamiento de la biblioteca criptográfica LibreSSL 3.2.0

Lanzamiento de la biblioteca criptográfica LibreSSL 3.2.0

Desarrolladores de proyectos OpenBSD presentado lanzamiento de una edición portátil del paquete LibreSSL 3.2.0, dentro del cual se está desarrollando una bifurcación de OpenSSL, destinada a proporcionar un mayor nivel de seguridad. El proyecto LibreSSL se centra en el soporte de alta calidad para los protocolos SSL/TLS eliminando funcionalidades innecesarias, agregando características de seguridad adicionales y limpiando y reelaborando significativamente la base del código. La versión LibreSSL 3.2.0 se considera una versión experimental que desarrolla características que se incluirán en OpenBSD 6.8.

Características de LibreSSL 3.2.0:

  • Lado del servidor habilitado de forma predeterminada TLS 1.3 además de la parte del cliente previamente propuesta. La implementación de TLS 1.3 se basa en una nueva máquina de estado y un subsistema para trabajar con registros. Aún no está disponible una API compatible con OpenSSL TLS 1.3, pero se han agregado opciones relacionadas con TLS 1.3 al comando openssl.
  • En el subsistema de procesamiento de registros, se mejoró la verificación del tamaño de campo de TLS 1.3 y se muestra una advertencia si se exceden los límites.
  • El servidor TLS garantiza que solo se procesen los nombres de host válidos en SNI que cumplan con los requisitos de RFC 5890 y RFC 6066.
  • La implementación de TLS 1.3 agregó soporte para el modo SSL_MODE_AUTO_RETRY para reenviar automáticamente mensajes de negociación de conexión.
  • El servidor y el cliente TLS 1.3 agregaron soporte para enviar solicitudes de verificación de estado de certificado usando la extensión Grapado OCSP (El servidor que atiende al sitio transmite una respuesta OCSP certificada por una autoridad de certificación al negociar una conexión TLS).
  • Cuando la E/S está habilitada de forma predeterminada, SSL_MODE_AUTO_RETRY está habilitado, similar a las nuevas versiones de OpenSSL.
  • Se agregaron pruebas de regresión basadas en tlsfuzzer.
  • El comando "openssl x509" proporciona una indicación de una fecha de vencimiento del certificado incorrecta.
  • TLS 1.3 con RSA solo permite firmas digitales PSS.

Fuente: opennet.ru

Añadir un comentario