Desenvolvedores de projetos OpenBSD lançamento de uma edição portátil do pacote , dentro do qual está sendo desenvolvido um fork do OpenSSL, com o objetivo de fornecer um maior nível de segurança. O projeto LibreSSL está focado no suporte de alta qualidade para os protocolos SSL/TLS, removendo funcionalidades desnecessárias, adicionando recursos de segurança adicionais e limpando e retrabalhando significativamente a base de código. A versão LibreSSL 3.2.0 é considerada uma versão experimental que desenvolve recursos que serão incluídos no OpenBSD 6.8.
Recursos do LibreSSL 3.2.0:
- Lado do servidor habilitado por padrão além da parte do cliente proposta anteriormente. A implementação do TLS 1.3 é construída com base em uma nova máquina de estados e um subsistema para trabalhar com registros. Uma API compatível com OpenSSL TLS 1.3 ainda não está disponível, mas opções relacionadas ao TLS 1.3 foram adicionadas ao comando openssl.
- No subsistema de processamento de registros, a verificação do tamanho dos campos TLS 1.3 foi aprimorada e um aviso é exibido caso os limites sejam excedidos.
- O servidor TLS garante que apenas nomes de host válidos no SNI que atendam aos requisitos da RFC 5890 e RFC 6066 sejam processados.
- A implementação do TLS 1.3 adicionou suporte para o modo SSL_MODE_AUTO_RETRY para reenviar automaticamente mensagens de negociação de conexão.
- O servidor e cliente TLS 1.3 adicionaram suporte para envio de solicitações de verificação de status de certificado usando a extensão (uma resposta OCSP certificada por uma autoridade de certificação é transmitida pelo servidor que atende o site ao negociar uma conexão TLS).
- Quando a E/S está habilitada por padrão, SSL_MODE_AUTO_RETRY está habilitado, semelhante a novas versões do OpenSSL.
- Adicionados testes de regressão com base em .
- O comando "openssl x509" fornece uma indicação de uma data de expiração de certificado incorreta.
- O TLS 1.3 com RSA permite apenas assinaturas digitais PSS.
Fonte: opennet.ru