นักพัฒนาโครงการ OpenBSD
คุณสมบัติของ LibreSSL 3.2.0:
- ฝั่งเซิร์ฟเวอร์เปิดใช้งานตามค่าเริ่มต้น
TLS ฮิต นอกเหนือจากส่วนที่ลูกค้าเสนอไว้ก่อนหน้านี้ การใช้งาน TLS 1.3 สร้างขึ้นบนพื้นฐานของเครื่องสถานะใหม่และระบบย่อยสำหรับการทำงานกับบันทึก API ที่เข้ากันได้กับ OpenSSL TLS 1.3 ยังไม่พร้อมใช้งาน แต่มีการเพิ่มตัวเลือกที่เกี่ยวข้องกับ TLS 1.3 ลงในคำสั่ง openssl แล้ว - ในระบบย่อยการประมวลผลบันทึก การตรวจสอบขนาดฟิลด์ TLS 1.3 ได้รับการปรับปรุง และคำเตือนจะปรากฏขึ้นหากเกินขีดจำกัด
- เซิร์ฟเวอร์ TLS ช่วยให้มั่นใจได้ว่าจะมีการประมวลผลเฉพาะชื่อโฮสต์ที่ถูกต้องใน SNI ที่เป็นไปตามข้อกำหนดของ RFC 5890 และ RFC 6066 เท่านั้น
- การใช้งาน TLS 1.3 ได้เพิ่มการสนับสนุนสำหรับโหมด SSL_MODE_AUTO_RETRY เพื่อส่งข้อความการเจรจาการเชื่อมต่ออีกครั้งโดยอัตโนมัติ
- เซิร์ฟเวอร์และไคลเอนต์ TLS 1.3 เพิ่มการรองรับสำหรับการส่งคำขอตรวจสอบสถานะใบรับรองโดยใช้ส่วนขยาย
เย็บเล่ม OCSP (การตอบสนองของ OCSP ที่ได้รับการรับรองโดยหน่วยงานออกใบรับรองจะถูกส่งโดยเซิร์ฟเวอร์ที่ให้บริการไซต์เมื่อเจรจาการเชื่อมต่อ TLS) - เมื่อเปิดใช้งาน I/O ตามค่าเริ่มต้น SSL_MODE_AUTO_RETRY จะถูกเปิดใช้งาน ซึ่งคล้ายกับ OpenSSL รุ่นใหม่
- เพิ่มการทดสอบการถดถอยตาม
tlsfuzzer . - คำสั่ง "openssl x509" ระบุวันหมดอายุของใบรับรองที่ไม่ถูกต้อง
- TLS 1.3 พร้อม RSA อนุญาตเฉพาะลายเซ็นดิจิทัล PSS เท่านั้น
ที่มา: opennet.ru