Versión da biblioteca criptográfica LibreSSL 3.2.0
Desenvolvedores de proxectos OpenBSD presentado lanzamento dunha edición portátil do paquete LibreSSL 3.2.0, dentro do cal se está a desenvolver un fork de OpenSSL, destinado a proporcionar un maior nivel de seguridade. O proxecto LibreSSL céntrase na compatibilidade de alta calidade para os protocolos SSL/TLS eliminando funcións innecesarias, engadindo funcións de seguranza adicionais e limpando e reelaborando significativamente a base de código. A versión de LibreSSL 3.2.0 considérase unha versión experimental que desenvolve funcións que se incluirán en OpenBSD 6.8.
Características de LibreSSL 3.2.0:
O lado do servidor está activado por defecto TLS 1.3 ademais da parte cliente previamente proposta. A implementación de TLS 1.3 está construída sobre a base dunha nova máquina de estado e un subsistema para traballar con rexistros. Aínda non está dispoñible unha API compatible con OpenSSL TLS 1.3, pero engadíronse opcións relacionadas con TLS 1.3 ao comando openssl.
No subsistema de procesamento de rexistros, mellorouse a comprobación do tamaño do campo TLS 1.3 e móstrase un aviso se se superan os límites.
O servidor TLS garante que só se procesen os nomes de host válidos en SNI que cumpran cos requisitos de RFC 5890 e RFC 6066.
A implementación de TLS 1.3 engadiu compatibilidade co modo SSL_MODE_AUTO_RETRY para reenviar automaticamente as mensaxes de negociación de conexión.
O servidor e o cliente TLS 1.3 engadiron compatibilidade para o envío de solicitudes de verificación do estado do certificado mediante a extensión Grapado OCSP (Unha resposta OCSP certificada por unha autoridade de certificación é transmitida polo servidor que serve o sitio cando se negocia unha conexión TLS).
Cando I/O está activado de forma predeterminada, SSL_MODE_AUTO_RETRY está habilitado, de forma similar ás novas versións de OpenSSL.
Engadíronse probas de regresión baseadas en tlsfuzzer.
O comando "openssl x509" proporciona unha indicación dunha data de caducidade do certificado incorrecta.
TLS 1.3 con RSA só permite sinaturas dixitais PSS.