OpenBSD-prosjektutviklere utgivelse av en bærbar utgave av pakken , der en gaffel av OpenSSL utvikles, rettet mot å gi et høyere sikkerhetsnivå. LibreSSL-prosjektet er fokusert på høykvalitetsstøtte for SSL/TLS-protokollene ved å fjerne unødvendig funksjonalitet, legge til ekstra sikkerhetsfunksjoner og betydelig rense og omarbeide kodebasen. LibreSSL 3.2.0-utgivelsen regnes som en eksperimentell utgivelse som utvikler funksjoner som vil bli inkludert i OpenBSD 6.8.
Funksjoner til LibreSSL 3.2.0:
- Serverside aktivert som standard i tillegg til tidligere foreslått byggherredel. Implementeringen av TLS 1.3 er bygget på grunnlag av en ny tilstandsmaskin og et undersystem for arbeid med poster. En OpenSSL TLS 1.3-kompatibel API er ennå ikke tilgjengelig, men TLS 1.3-relaterte alternativer er lagt til openssl-kommandoen.
- I postbehandlingsundersystemet har TLS 1.3 feltstørrelseskontroll blitt forbedret og en advarsel vises hvis grensene overskrides.
- TLS-serveren sikrer at kun gyldige vertsnavn i SNI som oppfyller kravene i RFC 5890 og RFC 6066, behandles.
- TLS 1.3-implementeringen la til støtte for SSL_MODE_AUTO_RETRY-modus for automatisk å sende meldinger om tilkoblingsforhandling på nytt.
- TLS 1.3-serveren og klienten la til støtte for å sende forespørsler om sertifikatstatuskontroll ved å bruke utvidelsen (et OCSP-svar sertifisert av en sertifiseringsinstans overføres av serveren som betjener nettstedet når det forhandles om en TLS-tilkobling).
- Når I/U er aktivert som standard, er SSL_MODE_AUTO_RETRY aktivert, på samme måte som nye utgivelser av OpenSSL.
- Lagt til regresjonstester basert på .
- Kommandoen "openssl x509" gir en indikasjon på en feil utløpsdato for sertifikatet.
- TLS 1.3 med RSA tillater kun digitale PSS-signaturer.
Kilde: opennet.ru