OpenBSD Төслийн Хөгжүүлэгчид багцын зөөврийн хувилбарыг гаргах , үүний хүрээнд илүү өндөр түвшний аюулгүй байдлыг хангах зорилготой OpenSSL-ийн сэрээ боловсруулж байна. LibreSSL төсөл нь SSL/TLS протоколуудыг өндөр чанарын дэмжлэг үзүүлэхэд чиглэгдэж, шаардлагагүй функцуудыг устгаж, нэмэлт хамгаалалтын функцуудыг нэмж, кодын суурийг ихээхэн цэвэрлэж, дахин боловсруулж байна. LibreSSL 3.2.0 хувилбар нь OpenBSD 6.8-д багтах боломжуудыг хөгжүүлдэг туршилтын хувилбар гэж тооцогддог.
LibreSSL 3.2.0-ийн онцлогууд:
- Анхдагчаар серверийн тал идэвхжсэн өмнө нь санал болгож буй үйлчлүүлэгчийн хэсгээс гадна. TLS 1.3-ийн хэрэгжилт нь шинэ төрийн машин, бүртгэлтэй ажиллах дэд систем дээр суурилагдсан. OpenSSL TLS 1.3-тэй нийцтэй API хараахан байхгүй байгаа ч openssl тушаалд TLS 1.3-тай холбоотой сонголтуудыг нэмсэн.
- Бичлэг боловсруулах дэд системд TLS 1.3 талбарын хэмжээг шалгах нь сайжирсан бөгөөд хязгаараас хэтэрсэн тохиолдолд анхааруулга харагдана.
- TLS сервер нь зөвхөн RFC 5890 болон RFC 6066-ийн шаардлагад нийцсэн SNI дахь хүчинтэй хост нэрийг боловсруулахыг баталгаажуулдаг.
- TLS 1.3 хэрэгжилт нь холболтын хэлэлцээрийн мессежийг автоматаар дахин илгээхийн тулд SSL_MODE_AUTO_RETRY горимд дэмжлэг нэмсэн.
- TLS 1.3 сервер болон үйлчлүүлэгч нь өргөтгөлийг ашиглан гэрчилгээний статус шалгах хүсэлтийг илгээх дэмжлэгийг нэмсэн (TLS холболтын талаар хэлэлцээр хийх үед гэрчилгээжүүлэх байгууллагаас баталгаажуулсан OCSP хариуг сайтад үйлчилдэг сервер дамжуулдаг).
- I/O-г анхдагчаар идэвхжүүлсэн үед OpenSSL-ийн шинэ хувилбаруудтай адил SSL_MODE_AUTO_RETRY идэвхждэг.
- Дээр үндэслэсэн регрессийн тестүүдийг нэмсэн .
- "Openssl x509" тушаал нь буруу гэрчилгээний хүчинтэй байх хугацааг зааж өгдөг.
- RSA-тай TLS 1.3 нь зөвхөн PSS тоон гарын үсгийг зөвшөөрдөг.
Эх сурвалж: opennet.ru