Nhà phát triển dự án OpenBSD phát hành phiên bản di động của gói , trong đó một nhánh của OpenSSL đang được phát triển, nhằm mục đích cung cấp mức độ bảo mật cao hơn. Dự án LibreSSL tập trung vào hỗ trợ chất lượng cao cho các giao thức SSL/TLS bằng cách loại bỏ chức năng không cần thiết, thêm các tính năng bảo mật bổ sung cũng như làm sạch và làm lại đáng kể cơ sở mã. Bản phát hành LibreSSL 3.2.0 được coi là bản phát hành thử nghiệm phát triển các tính năng sẽ được đưa vào OpenBSD 6.8.
Các tính năng của LibreSSL 3.2.0:
- Phía máy chủ được bật theo mặc định ngoài phần khách hàng đã đề xuất trước đó. Việc triển khai TLS 1.3 được xây dựng trên cơ sở máy trạng thái mới và hệ thống con để làm việc với các bản ghi. API tương thích OpenSSL TLS 1.3 chưa có sẵn nhưng các tùy chọn liên quan đến TLS 1.3 đã được thêm vào lệnh openssl.
- Trong hệ thống con xử lý bản ghi, việc kiểm tra kích thước trường TLS 1.3 đã được cải thiện và cảnh báo được hiển thị nếu vượt quá giới hạn.
- Máy chủ TLS đảm bảo rằng chỉ những tên máy chủ hợp lệ trong SNI tuân thủ các yêu cầu của RFC 5890 và RFC 6066 mới được xử lý.
- Việc triển khai TLS 1.3 đã thêm hỗ trợ cho chế độ SSL_MODE_AUTO_RETRY để tự động gửi lại thông báo đàm phán kết nối.
- Máy chủ và máy khách TLS 1.3 đã thêm hỗ trợ gửi yêu cầu kiểm tra trạng thái chứng chỉ bằng tiện ích mở rộng (phản hồi OCSP được cơ quan chứng nhận chứng nhận sẽ được truyền bởi máy chủ phục vụ trang web khi đàm phán kết nối TLS).
- Khi I/O được bật theo mặc định, SSL_MODE_AUTO_RETRY cũng được bật, tương tự như các bản phát hành mới của OpenSSL.
- Đã thêm các thử nghiệm hồi quy dựa trên .
- Lệnh "openssl x509" cung cấp dấu hiệu về ngày hết hạn chứng chỉ không chính xác.
- TLS 1.3 với RSA chỉ cho phép chữ ký số PSS.
Nguồn: opennet.ru