นักพัฒนาโครงการ OpenBSD การเปิดตัวแพ็คเกจรุ่นพกพา ซึ่งมีการพัฒนาทางแยกของ OpenSSL โดยมีเป้าหมายเพื่อให้ระดับความปลอดภัยที่สูงขึ้น โปรเจ็กต์ LibreSSL มุ่งเน้นไปที่การสนับสนุนคุณภาพสูงสำหรับโปรโตคอล SSL/TLS โดยการลบฟังก์ชันการทำงานที่ไม่จำเป็นออก เพิ่มคุณสมบัติความปลอดภัยเพิ่มเติม และการทำความสะอาดและการทำงานฐานโค้ดใหม่อย่างมีนัยสำคัญ LibreSSL 3.2.0 ถือเป็นรุ่นทดลองที่พัฒนาฟีเจอร์ต่างๆ ที่จะรวมอยู่ใน OpenBSD 6.8
คุณสมบัติของ LibreSSL 3.2.0:
- ฝั่งเซิร์ฟเวอร์เปิดใช้งานตามค่าเริ่มต้น นอกเหนือจากส่วนที่ลูกค้าเสนอไว้ก่อนหน้านี้ การใช้งาน TLS 1.3 สร้างขึ้นบนพื้นฐานของเครื่องสถานะใหม่และระบบย่อยสำหรับการทำงานกับบันทึก API ที่เข้ากันได้กับ OpenSSL TLS 1.3 ยังไม่พร้อมใช้งาน แต่มีการเพิ่มตัวเลือกที่เกี่ยวข้องกับ TLS 1.3 ลงในคำสั่ง openssl แล้ว
- ในระบบย่อยการประมวลผลบันทึก การตรวจสอบขนาดฟิลด์ TLS 1.3 ได้รับการปรับปรุง และคำเตือนจะปรากฏขึ้นหากเกินขีดจำกัด
- เซิร์ฟเวอร์ TLS ช่วยให้มั่นใจได้ว่าจะมีการประมวลผลเฉพาะชื่อโฮสต์ที่ถูกต้องใน SNI ที่เป็นไปตามข้อกำหนดของ RFC 5890 และ RFC 6066 เท่านั้น
- การใช้งาน TLS 1.3 ได้เพิ่มการสนับสนุนสำหรับโหมด SSL_MODE_AUTO_RETRY เพื่อส่งข้อความการเจรจาการเชื่อมต่ออีกครั้งโดยอัตโนมัติ
- เซิร์ฟเวอร์และไคลเอนต์ TLS 1.3 เพิ่มการรองรับสำหรับการส่งคำขอตรวจสอบสถานะใบรับรองโดยใช้ส่วนขยาย (การตอบสนองของ OCSP ที่ได้รับการรับรองโดยหน่วยงานออกใบรับรองจะถูกส่งโดยเซิร์ฟเวอร์ที่ให้บริการไซต์เมื่อเจรจาการเชื่อมต่อ TLS)
- เมื่อเปิดใช้งาน I/O ตามค่าเริ่มต้น SSL_MODE_AUTO_RETRY จะถูกเปิดใช้งาน ซึ่งคล้ายกับ OpenSSL รุ่นใหม่
- เพิ่มการทดสอบการถดถอยตาม .
- คำสั่ง "openssl x509" ระบุวันหมดอายุของใบรับรองที่ไม่ถูกต้อง
- TLS 1.3 พร้อม RSA อนุญาตเฉพาะลายเซ็นดิจิทัล PSS เท่านั้น
ที่มา: opennet.ru