OpenBSD 项目开发人员 发布该软件包的便携版 ,其中正在开发 OpenSSL 的一个分支,旨在提供更高级别的安全性。 LibreSSL 项目专注于通过删除不必要的功能、添加额外的安全功能以及显着清理和重写代码库来对 SSL/TLS 协议提供高质量支持。 LibreSSL 3.2.0 版本被认为是一个实验版本,它开发的功能将包含在 OpenBSD 6.8 中。
LibreSSL 3.2.0 的特点:
- 服务器端默认启用 除了之前提出的客户端部分之外。 TLS 1.3 的实现建立在新的状态机和用于处理记录的子系统的基础上。 OpenSSL TLS 1.3 兼容 API 尚不可用,但 TLS 1.3 相关选项已添加到 openssl 命令中。
- 在记录处理子系统中,TLS 1.3 字段大小检查已得到改进,如果超出限制,则会显示警告。
- TLS 服务器确保仅处理 SNI 中符合 RFC 5890 和 RFC 6066 要求的有效主机名。
- TLS 1.3 实现添加了对 SSL_MODE_AUTO_RETRY 模式的支持,以自动重新发送连接协商消息。
- TLS 1.3 服务器和客户端添加了使用扩展发送证书状态检查请求的支持 (在协商 TLS 连接时,由证书颁发机构认证的 OCSP 响应由服务站点的服务器传输)。
- 默认情况下启用 I/O 时,会启用 SSL_MODE_AUTO_RETRY,类似于新版本的 OpenSSL。
- 添加回归测试基于 .
- “openssl x509”命令提供了不正确的证书到期日期的指示。
- 带有 RSA 的 TLS 1.3 仅允许 PSS 数字签名。
来源: opennet.ru