Twórcy projektów OpenBSD wydanie przenośnej edycji pakietu , w ramach którego rozwijany jest fork OpenSSL, mający na celu zapewnienie wyższego poziomu bezpieczeństwa. Projekt LibreSSL koncentruje się na wysokiej jakości obsłudze protokołów SSL/TLS poprzez usunięcie niepotrzebnej funkcjonalności, dodanie dodatkowych funkcji bezpieczeństwa oraz znaczne oczyszczenie i przeróbkę bazy kodu. Wydanie LibreSSL 3.2.0 jest uważane za wydanie eksperymentalne, które rozwija funkcje, które zostaną uwzględnione w OpenBSD 6.8.
Funkcje LibreSSL 3.2.0:
- Domyślnie włączona strona serwera oprócz zaproponowanej wcześniej części klienta. Implementacja TLS 1.3 zbudowana jest w oparciu o nową maszynę stanów i podsystem do pracy z rekordami. Interfejs API zgodny z OpenSSL TLS 1.3 nie jest jeszcze dostępny, ale do polecenia openssl dodano opcje związane z TLS 1.3.
- W podsystemie przetwarzania rekordów poprawiono sprawdzanie wielkości pól TLS 1.3 i wyświetlanie ostrzeżenia w przypadku przekroczenia limitów.
- Serwer TLS dba o to, aby przetwarzane były tylko prawidłowe nazwy hostów w SNI, które spełniają wymagania RFC 5890 i RFC 6066.
- Implementacja protokołu TLS 1.3 dodała obsługę trybu SSL_MODE_AUTO_RETRY w celu automatycznego ponownego wysyłania komunikatów o negocjacjach połączenia.
- Serwer i klient TLS 1.3 dodał obsługę wysyłania żądań sprawdzenia stanu certyfikatu za pomocą rozszerzenia (odpowiedź OCSP potwierdzona przez urząd certyfikacji jest przesyłana przez serwer obsługujący witrynę podczas negocjowania połączenia TLS).
- Gdy domyślnie włączone jest wejście/wyjście, włączony jest SSL_MODE_AUTO_RETRY, podobnie jak w nowych wersjach OpenSSL.
- Dodano testy regresyjne oparte na .
- Polecenie „openssl x509” wskazuje nieprawidłową datę ważności certyfikatu.
- TLS 1.3 z RSA umożliwia tylko podpisy cyfrowe PSS.
Źródło: opennet.ru