Pengembang Proyek OpenBSD rilis paket edisi portabel , di mana cabang OpenSSL sedang dikembangkan, yang bertujuan untuk memberikan tingkat keamanan yang lebih tinggi. Proyek LibreSSL difokuskan pada dukungan berkualitas tinggi untuk protokol SSL/TLS dengan menghapus fungsionalitas yang tidak perlu, menambahkan fitur keamanan tambahan, dan secara signifikan membersihkan dan mengerjakan ulang basis kode. Rilis LibreSSL 3.2.0 dianggap sebagai rilis eksperimental yang mengembangkan fitur-fitur yang akan disertakan dalam OpenBSD 6.8.
Fitur LibreSSL 3.2.0:
- Bagian server diaktifkan secara default Selain bagian klien yang diusulkan sebelumnya, implementasi TLS 1.3 dibangun di atas mesin status dan subsistem pemrosesan rekaman yang baru. API TLS 1.3 yang kompatibel dengan OpenSSL belum tersedia, tetapi opsi terkait TLS 1.3 telah ditambahkan ke perintah openssl.
- Pemeriksaan ukuran bidang TLS 1.3 telah ditingkatkan dalam subsistem rekaman, dan peringatan telah dikeluarkan jika batas terlampaui.
- Server TLS dipastikan hanya memproses nama host yang valid dalam SNI yang mematuhi RFC 5890 dan RFC 6066.
- Implementasi TLS 1.3 menambahkan dukungan untuk mode SSL_MODE_AUTO_RETRY untuk mengirim ulang pesan negosiasi koneksi secara otomatis.
- Server dan klien TLS 1.3 sekarang mendukung pengiriman permintaan pemeriksaan status sertifikat menggunakan ekstensi (respons OCSP yang disertifikasi oleh otoritas sertifikasi dikirimkan oleh server yang melayani situs saat menegosiasikan koneksi TLS).
- Mode SSL_MODE_AUTO_RETRY diaktifkan secara default untuk I/O, mirip dengan rilis OpenSSL yang lebih baru.
- Menambahkan tes regresi berdasarkan .
- Perintah "openssl x509" sekarang menandai sertifikat untuk waktu kedaluwarsa yang tidak valid.
- Dalam TLS 1.3 dengan RSA, hanya tanda tangan digital PSS yang diizinkan.
Sumber: opennet.ru
