ProHoster > blog > notizie internet > Rilascio della libreria crittografica LibreSSL 3.2.0

Rilascio della libreria crittografica LibreSSL 3.2.0

Sviluppatori del progetto OpenBSD purché rilascio di un'edizione portatile del pacchetto LibreSSL 3.2.0, all'interno del quale è in fase di sviluppo un fork di OpenSSL, volto a fornire un livello di sicurezza più elevato. Il progetto LibreSSL si concentra sul supporto di alta qualità per i protocolli SSL/TLS rimuovendo funzionalità non necessarie, aggiungendo ulteriori funzionalità di sicurezza e pulendo e rielaborando in modo significativo la base di codice. La versione LibreSSL 3.2.0 è considerata una versione sperimentale che sviluppa funzionalità che saranno incluse in OpenBSD 6.8.

Caratteristiche di LibreSSL 3.2.0:

  • Lato server abilitato per impostazione predefinita TLS 1.3 oltre alla parte cliente precedentemente proposta. L'implementazione di TLS 1.3 è basata su una nuova macchina a stati e un sottosistema per lavorare con i record. Non è ancora disponibile un'API compatibile con OpenSSL TLS 1.3, ma le opzioni relative a TLS 1.3 sono state aggiunte al comando openssl.
  • Nel sottosistema di elaborazione dei record, il controllo delle dimensioni dei campi TLS 1.3 è stato migliorato e viene visualizzato un avviso se vengono superati i limiti.
  • Il server TLS garantisce che vengano elaborati solo nomi host validi in SNI conformi ai requisiti RFC 5890 e RFC 6066.
  • L'implementazione TLS 1.3 ha aggiunto il supporto per la modalità SSL_MODE_AUTO_RETRY per inviare nuovamente automaticamente i messaggi di negoziazione della connessione.
  • Il server e il client TLS 1.3 hanno aggiunto il supporto per l'invio di richieste di controllo dello stato del certificato utilizzando l'estensione Pinzatura OCSP (una risposta OCSP certificata da un'autorità di certificazione viene trasmessa dal server che serve il sito durante la negoziazione di una connessione TLS).
  • Quando l'I/O è abilitato per impostazione predefinita, SSL_MODE_AUTO_RETRY è abilitato, in modo simile alle nuove versioni di OpenSSL.
  • Aggiunti test di regressione basati su tlsfuzzer.
  • Il comando "openssl x509" fornisce l'indicazione di una data di scadenza del certificato errata.
  • TLS 1.3 con RSA consente solo firme digitali PSS.

Fonte: opennet.ru

Aggiungi un commento