OpenBSD 專案開發人員 發布該軟體包的便攜式版 ,其中正在開發 OpenSSL 的一個分支,旨在提供更高級別的安全性。 LibreSSL 專案專注於透過刪除不必要的功能、添加額外的安全功能以及顯著清理和重寫程式碼庫來為 SSL/TLS 協定提供高品質支援。 LibreSSL 3.2.0 版本被認為是實驗版本,它開發的功能將包含在 OpenBSD 6.8 中。
LibreSSL 3.2.0 的特點:
- 伺服器端預設啟用 除了之前提出的客戶端部分之外。 TLS 1.3 的實作建立在新的狀態機和用於處理記錄的子系統的基礎上。 OpenSSL TLS 1.3 相容 API 尚不可用,但 TLS 1.3 相關選項已新增至 openssl 指令中。
- 在記錄處理子系統中,TLS 1.3 欄位大小檢查已改進,如果超出限制,則會顯示警告。
- TLS 伺服器可確保僅處理 SNI 中符合 RFC 5890 和 RFC 6066 要求的有效主機名稱。
- TLS 1.3 實作新增了對 SSL_MODE_AUTO_RETRY 模式的支持,以自動重新傳送連線協商訊息。
- TLS 1.3 伺服器和用戶端新增了使用擴展發送憑證狀態檢查請求的支持 (在協商 TLS 連線時,由憑證授權單位認證的 OCSP 回應由服務網站的伺服器傳輸)。
- 預設啟用 I/O 時,會啟用 SSL_MODE_AUTO_RETRY,類似新版本的 OpenSSL。
- 新增回歸測試基於 .
- “openssl x509”指令提供了不正確的憑證到期日的指示。
- 帶有 RSA 的 TLS 1.3 僅允許 PSS 數位簽章。
來源: opennet.ru