OpenBSD プロジェクト開発者 パッケージのポータブル版のリリース 、その中で、より高いレベルのセキュリティを提供することを目的とした OpenSSL のフォークが開発されています。 LibreSSL プロジェクトは、不要な機能を削除し、追加のセキュリティ機能を追加し、コード ベースを大幅にクリーンアップして再加工することにより、SSL/TLS プロトコルの高品質なサポートに焦点を当てています。 LibreSSL 3.2.0 リリースは、OpenBSD 6.8 に含まれる機能を開発する実験的リリースとみなされます。
LibreSSL 3.2.0 の機能:
- サーバー部分はデフォルトで有効になっています 以前に提案されたクライアント部分に加えて。 TLS 1.3 の実装は、新しいステート マシンとレコードを操作するためのサブシステムに基づいて構築されています。 OpenSSL TLS 1.3 互換 API はまだ利用できませんが、TLS 1.3 関連のオプションが openssl コマンドに追加されました。
- レコード処理サブシステムでは、TLS 1.3 フィールド サイズのチェックが改善され、制限を超えた場合には警告が表示されます。
- TLS サーバーは、RFC 5890 および RFC 6066 の要件に準拠する SNI 内の有効なホスト名のみが処理されるようにします。
- TLS 1.3 実装では、接続ネゴシエーション メッセージを自動的に再送信するための SSL_MODE_AUTO_RETRY モードのサポートが追加されました。
- TLS 1.3 サーバーとクライアントは、拡張機能を使用して証明書ステータス チェック リクエストを送信するためのサポートを追加しました。 (認証局によって認証された OCSP 応答は、TLS 接続をネゴシエートするときに、サイトにサービスを提供するサーバーによって送信されます)。
- I/O がデフォルトで有効になっている場合、OpenSSL の新しいリリースと同様に、SSL_MODE_AUTO_RETRY が有効になります。
- に基づいて回帰テストを追加しました .
- 「openssl x509」コマンドは、証明書の有効期限が間違っていることを示します。
- RSA を使用した TLS 1.3 では、PSS デジタル署名のみが許可されます。
出所: オープンネット.ru