OpenBSD 项目开发人员
LibreSSL 3.2.0 的特点:
- 服务器端默认启用
TLS 1.3的 除了之前提出的客户端部分之外。 TLS 1.3 的实现建立在新的状态机和用于处理记录的子系统的基础上。 OpenSSL TLS 1.3 兼容 API 尚不可用,但 TLS 1.3 相关选项已添加到 openssl 命令中。 - 在记录处理子系统中,TLS 1.3 字段大小检查已得到改进,如果超出限制,则会显示警告。
- TLS 服务器确保仅处理 SNI 中符合 RFC 5890 和 RFC 6066 要求的有效主机名。
- TLS 1.3 实现添加了对 SSL_MODE_AUTO_RETRY 模式的支持,以自动重新发送连接协商消息。
- TLS 1.3 服务器和客户端添加了使用扩展发送证书状态检查请求的支持
OCSP装订 (在协商 TLS 连接时,由证书颁发机构认证的 OCSP 响应由服务站点的服务器传输)。 - 默认情况下启用 I/O 时,会启用 SSL_MODE_AUTO_RETRY,类似于新版本的 OpenSSL。
- 添加回归测试基于
tls模糊器 . - “openssl x509”命令提供了不正确的证书到期日期的指示。
- 带有 RSA 的 TLS 1.3 仅允许 PSS 数字签名。
来源: opennet.ru