OpenBSD proiektuen garatzaileak paketearen edizio eramangarri baten kaleratzea , zeinaren barruan OpenSSL fork bat garatzen ari da, segurtasun maila handiagoa eskaintzera zuzenduta. LibreSSL proiektua SSL/TLS protokoloetarako kalitate handiko euskarria bideratzen da, beharrezkoak ez diren funtzionalitateak kenduz, segurtasun-eginbide gehigarriak gehituz eta kode-oinarria nabarmen garbituz eta berrituz. LibreSSL 3.2.0 bertsioa OpenBSD 6.8-n sartuko diren ezaugarriak garatzen dituen bertsio esperimentaltzat hartzen da.
LibreSSL 3.2.0-ren ezaugarriak:
- Zerbitzariaren aldea gaituta lehenespenez aurretik proposatutako bezero-zatiaz gain. TLS 1.3 inplementazioa egoera-makina berri baten eta erregistroekin lan egiteko azpisistema batean oinarritzen da. OpenSSL TLS 1.3 API bateragarria oraindik ez dago eskuragarri, baina TLS 1.3rekin erlazionatutako aukerak gehitu zaizkio openssl komandoari.
- Erregistroak prozesatzeko azpisisteman, TLS 1.3 eremuaren tamainaren egiaztapena hobetu da eta abisu bat bistaratzen da mugak gainditzen badira.
- TLS zerbitzariak RFC 5890 eta RFC 6066-ren eskakizunak betetzen dituzten SNIn baliozko ostalari-izenak soilik prozesatzen direla ziurtatzen du.
- TLS 1.3 inplementazioak SSL_MODE_AUTO_RETRY modurako laguntza gehitu zuen konexioa negoziatzeko mezuak automatikoki berriro bidaltzeko.
- TLS 1.3 zerbitzariak eta bezeroak luzapena erabiliz ziurtagiriaren egoera egiaztatzeko eskaerak bidaltzeko laguntza gehitu zuten (ziurtagiri-agintari batek ziurtatutako OCSP erantzuna gunea zerbitzatzen duen zerbitzariak transmititzen du TLS konexioa negoziatzen denean).
- I/O lehenespenez gaituta dagoenean, SSL_MODE_AUTO_RETRY gaituta dago, OpenSSL-ren bertsio berrien antzera.
- Oinarritutako erregresio probak gehitu dira .
- "openssl x509" komandoak ziurtagiriaren iraungitze-data oker baten adierazle ematen du.
- TLS 1.3 RSArekin PSS sinadura digitalak soilik onartzen ditu.
Iturria: opennet.ru