توسعه دهندگان پروژه OpenBSD انتشار نسخه قابل حمل بسته ، که در آن فورکی از OpenSSL با هدف ارائه سطح بالاتری از امنیت در حال توسعه است. پروژه LibreSSL بر روی پشتیبانی با کیفیت بالا از پروتکل های SSL/TLS با حذف عملکردهای غیر ضروری، افزودن ویژگی های امنیتی اضافی، و تمیز کردن و کار مجدد پایه کد به طور قابل توجهی متمرکز شده است. نسخه LibreSSL 3.2.0 یک نسخه آزمایشی در نظر گرفته می شود که ویژگی هایی را توسعه می دهد که در OpenBSD 6.8 گنجانده خواهد شد.
ویژگی های LibreSSL 3.2.0:
- سمت سرور به طور پیش فرض فعال است علاوه بر بخش مشتری پیشنهادی قبلی. اجرای TLS 1.3 بر اساس یک ماشین حالت جدید و یک زیر سیستم برای کار با رکوردها ساخته شده است. یک API سازگار با OpenSSL TLS 1.3 هنوز در دسترس نیست، اما گزینه های مربوط به TLS 1.3 به دستور openssl اضافه شده است.
- در زیرسیستم پردازش رکورد، بررسی اندازه فیلد TLS 1.3 بهبود یافته است و در صورت تجاوز از محدودیت ها یک هشدار نمایش داده می شود.
- سرور TLS تضمین می کند که فقط نام های میزبان معتبر در SNI که با الزامات RFC 5890 و RFC 6066 مطابقت دارند پردازش می شوند.
- اجرای TLS 1.3 پشتیبانی از حالت SSL_MODE_AUTO_RETRY را برای ارسال مجدد خودکار پیام های مذاکره اتصال اضافه کرد.
- سرور و کلاینت TLS 1.3 برای ارسال درخواستهای بررسی وضعیت گواهی با استفاده از برنامه افزودنی پشتیبانی اضافه کردند (یک پاسخ OCSP تایید شده توسط یک مرجع صدور گواهینامه توسط سروری که به سایت سرویس می دهد هنگام مذاکره برای اتصال TLS منتقل می شود).
- وقتی I/O به طور پیشفرض فعال است، SSL_MODE_AUTO_RETRY فعال است، مشابه نسخههای جدید OpenSSL.
- اضافه شدن تست های رگرسیون بر اساس .
- دستور "openssl x509" نشانه ای از تاریخ انقضای گواهینامه اشتباه است.
- TLS 1.3 با RSA فقط به امضای دیجیتال PSS اجازه می دهد.
منبع: opennet.ru