Desenvolvedores de proxectos OpenBSD lanzamento dunha edición portátil do paquete , dentro do cal se está a desenvolver un fork de OpenSSL, destinado a proporcionar un maior nivel de seguridade. O proxecto LibreSSL céntrase na compatibilidade de alta calidade para os protocolos SSL/TLS eliminando funcións innecesarias, engadindo funcións de seguranza adicionais e limpando e reelaborando significativamente a base de código. A versión de LibreSSL 3.2.0 considérase unha versión experimental que desenvolve funcións que se incluirán en OpenBSD 6.8.
Características de LibreSSL 3.2.0:
- O lado do servidor está activado por defecto ademais da parte cliente previamente proposta. A implementación de TLS 1.3 está construída sobre a base dunha nova máquina de estado e un subsistema para traballar con rexistros. Aínda non está dispoñible unha API compatible con OpenSSL TLS 1.3, pero engadíronse opcións relacionadas con TLS 1.3 ao comando openssl.
- No subsistema de procesamento de rexistros, mellorouse a comprobación do tamaño do campo TLS 1.3 e móstrase un aviso se se superan os límites.
- O servidor TLS garante que só se procesen os nomes de host válidos en SNI que cumpran cos requisitos de RFC 5890 e RFC 6066.
- A implementación de TLS 1.3 engadiu compatibilidade co modo SSL_MODE_AUTO_RETRY para reenviar automaticamente as mensaxes de negociación de conexión.
- O servidor e o cliente TLS 1.3 engadiron compatibilidade para o envío de solicitudes de verificación do estado do certificado mediante a extensión (Unha resposta OCSP certificada por unha autoridade de certificación é transmitida polo servidor que serve o sitio cando se negocia unha conexión TLS).
- Cando I/O está activado de forma predeterminada, SSL_MODE_AUTO_RETRY está habilitado, de forma similar ás novas versións de OpenSSL.
- Engadíronse probas de regresión baseadas en .
- O comando "openssl x509" proporciona unha indicación dunha data de caducidade do certificado incorrecta.
- TLS 1.3 con RSA só permite sinaturas dixitais PSS.
Fonte: opennet.ru