OpenBSD プロジェクト開発者
LibreSSL 3.2.0 の機能:
- サーバー部分はデフォルトで有効になっています
TLS 1.3 以前に提案されたクライアント部分に加えて。 TLS 1.3 の実装は、新しいステート マシンとレコードを操作するためのサブシステムに基づいて構築されています。 OpenSSL TLS 1.3 互換 API はまだ利用できませんが、TLS 1.3 関連のオプションが openssl コマンドに追加されました。 - レコード処理サブシステムでは、TLS 1.3 フィールド サイズのチェックが改善され、制限を超えた場合には警告が表示されます。
- TLS サーバーは、RFC 5890 および RFC 6066 の要件に準拠する SNI 内の有効なホスト名のみが処理されるようにします。
- TLS 1.3 実装では、接続ネゴシエーション メッセージを自動的に再送信するための SSL_MODE_AUTO_RETRY モードのサポートが追加されました。
- TLS 1.3 サーバーとクライアントは、拡張機能を使用して証明書ステータス チェック リクエストを送信するためのサポートを追加しました。
OCSPステープリング (認証局によって認証された OCSP 応答は、TLS 接続をネゴシエートするときに、サイトにサービスを提供するサーバーによって送信されます)。 - I/O がデフォルトで有効になっている場合、OpenSSL の新しいリリースと同様に、SSL_MODE_AUTO_RETRY が有効になります。
- に基づいて回帰テストを追加しました
tlsfuzzer . - 「openssl x509」コマンドは、証明書の有効期限が間違っていることを示します。
- RSA を使用した TLS 1.3 では、PSS デジタル署名のみが許可されます。
出所: オープンネット.ru