ProHoster > Blog > actualités internet > Version de la bibliothèque cryptographique LibreSSL 3.2.0

Version de la bibliothèque cryptographique LibreSSL 3.2.0

Développeurs de projets OpenBSD soumis sortie d'une édition portable du package LibreSSL 3.2.0, au sein duquel un fork d'OpenSSL est en cours de développement, visant à offrir un niveau de sécurité plus élevé. Le projet LibreSSL se concentre sur une prise en charge de haute qualité des protocoles SSL/TLS en supprimant les fonctionnalités inutiles, en ajoutant des fonctionnalités de sécurité supplémentaires et en nettoyant et retravaillant considérablement la base de code. La version LibreSSL 3.2.0 est considérée comme une version expérimentale qui développe des fonctionnalités qui seront incluses dans OpenBSD 6.8.

Caractéristiques de LibreSSL 3.2.0 :

  • Côté serveur activé par défaut TLS 1.3 en plus de la partie client proposée précédemment. La mise en œuvre de TLS 1.3 repose sur une nouvelle machine à états et un sous-système permettant de travailler avec des enregistrements. Une API compatible OpenSSL TLS 1.3 n'est pas encore disponible, mais des options liées à TLS 1.3 ont été ajoutées à la commande openssl.
  • Dans le sous-système de traitement des enregistrements, la vérification de la taille des champs TLS 1.3 a été améliorée et un avertissement s'affiche si les limites sont dépassées.
  • Le serveur TLS garantit que seuls les noms d'hôtes valides dans SNI conformes aux exigences des RFC 5890 et RFC 6066 sont traités.
  • L'implémentation TLS 1.3 a ajouté la prise en charge du mode SSL_MODE_AUTO_RETRY pour renvoyer automatiquement les messages de négociation de connexion.
  • Le serveur et le client TLS 1.3 ont ajouté la prise en charge de l'envoi de demandes de vérification de l'état du certificat à l'aide de l'extension Agrafage OCSP (une réponse OCSP certifiée par une autorité de certification est transmise par le serveur desservant le site lors de la négociation d'une connexion TLS).
  • Lorsque les E/S sont activées par défaut, SSL_MODE_AUTO_RETRY est activé, comme dans les nouvelles versions d'OpenSSL.
  • Ajout de tests de régression basés sur tlsfuzzer.
  • La commande "openssl x509" fournit une indication d'une date d'expiration de certificat incorrecte.
  • TLS 1.3 avec RSA autorise uniquement les signatures numériques PSS.

Source: opennet.ru

Ajouter un commentaire