OpenBSD Долбоорунун Иштеп чыгуучулары пакеттин көчмө чыгарылышын чыгаруу , анын ичинде коопсуздуктун жогорку деңгээлин камсыз кылууга багытталган OpenSSL айрысы иштелип жатат. LibreSSL долбоору керексиз функцияларды алып салуу, кошумча коопсуздук функцияларын кошуу жана код базасын олуттуу тазалоо жана кайра иштетүү аркылуу SSL/TLS протоколдорун сапаттуу колдоого багытталган. LibreSSL 3.2.0 релиз OpenBSD 6.8ге камтыла турган функцияларды иштеп чыгуучу эксперименталдык чыгарылыш болуп эсептелет.
LibreSSL 3.2.0 өзгөчөлүктөрү:
- Сервер тарап демейки боюнча иштетилген мурда сунушталган кардар бөлүгүнө кошумча. TLS 1.3 ишке ашыруу жаңы мамлекеттик машинанын жана жазуулар менен иштөө үчүн подсистеманын негизинде курулган. OpenSSL TLS 1.3 менен шайкеш API азырынча жеткиликтүү эмес, бирок openssl буйругуна TLS 1.3 менен байланышкан параметрлер кошулду.
- Жазууну иштетүү подсистемасында TLS 1.3 талаасынын өлчөмүн текшерүү жакшыртылды жана чектен ашып кетсе эскертүү көрсөтүлөт.
- TLS сервери RFC 5890 жана RFC 6066 талаптарына жооп берген SNI'де жарактуу хост аттары гана иштетилишин камсыздайт.
- TLS 1.3 ишке ашыруу байланыш сүйлөшүү билдирүүлөрүн автоматтык түрдө кайра жөнөтүү үчүн SSL_MODE_AUTO_RETRY режимине колдоо кошту.
- TLS 1.3 сервери жана кардары кеңейтүүнү колдонуу менен сертификаттын абалын текшерүү сурамдарын жөнөтүү үчүн колдоо кошту (сертификаттоо органы тарабынан тастыкталган OCSP жообу TLS байланышы боюнча сүйлөшүүлөрдү жүргүзүүдө сайтты тейлеген сервер тарабынан жөнөтүлөт).
- I/O демейки боюнча иштетилгенде, SSL_MODE_AUTO_RETRY иштетилет, OpenSSL жаңы чыгарылыштарына окшош.
- Негизделген регрессиялык тесттер кошулду .
- "openssl x509" буйругу туура эмес сертификаттын жарактуулук мөөнөтүн көрсөтөт.
- RSA менен TLS 1.3 PSS санарип кол тамгаларына гана уруксат берет.
Source: opennet.ru