Разработчики проекта OpenBSD представили (https://marc.info/?l=openbsd-announce&m=144304330731220&w=2) выпуск переносимой редакции пакета LibreSSL 2.3.0 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.

Новая ветка ознаменовала начало разработки версии, которая будет развиваться параллельно с OpenBSD 5.9 и войдёт в состав данного релиза. Ветка 2.3.x позиционируется как экспериментальная и дополняет стабильные ветки 2.2.x и 2.1.x (стабилизация ABI/API LibreSSL 2.3.x ожидается в марте 2016 года).

Ключевые изменения:

-  Удалён код, обеспечивающий поддержку SSLv3 и SHA-0;
-  Внесены изменения в API libtls: добавлена поддержка верификации на стороне клиента (клиент инициирует передачу сертификата серверу), улучшена работа вызовов tls_read/write при использовании внешних библиотек с реализацией моделей асинхронной обработки событий;
-  Добавлены дополнительные проверки параметров "p" и "q" сериализированных ключей DSA;

-  Прекращена поддержка DTLS_BAD_VER (реализации до выпуска DTLSv1);
-  В утилите openssl прекращена поддержка команды engine;

-  Добавлен интерфейс OPENSSL_cpu_caps, запрещающий изменение флагов CPU из связанного с библиотекой приложения. Удалены вызовы    OPENSSL_ia32cap и OPENSSL_ia32cap_loc;

-  Утилита 'nc', которую можно использовать в качестве простой замены команд 'openssl s_client' и 'openssl s_server', переведена на использование библиотеки  libtls для клиентских и серверных операций, и включена в состав архива libressl-portable в качестве примера использования libtls.

URL: https://marc.info/?l=openbsd-announce&m=144304330731220&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=43025

• Выпуск LibreSSL 2.3.0,Аноним, 10:44 , 24-Сен-15
  • Выпуск LibreSSL 2.3.0,., 12:19 , 24-Сен-15
    • Выпуск LibreSSL 2.3.0,Snaut, 12:25 , 24-Сен-15
      • Выпуск LibreSSL 2.3.0,., 12:34 , 24-Сен-15
        • Выпуск LibreSSL 2.3.0,Elhana, 15:01 , 25-Сен-15
    • Выпуск LibreSSL 2.3.0,andy, 12:25 , 24-Сен-15
    • Выпуск LibreSSL 2.3.0,Аноним, 13:32 , 24-Сен-15
      • Выпуск LibreSSL 2.3.0,., 15:00 , 24-Сен-15
        • Выпуск LibreSSL 2.3.0,cvsup1, 18:19 , 24-Сен-15
          • Выпуск LibreSSL 2.3.0,., 14:29 , 25-Сен-15
            • Выпуск LibreSSL 2.3.0,cvsup1, 20:20 , 25-Сен-15
              • Выпуск LibreSSL 2.3.0,., 12:06 , 28-Сен-15
• Выпуск LibreSSL 2.3.0,Аноним, 11:23 , 24-Сен-15
  • Выпуск LibreSSL 2.3.0,Аноним, 12:09 , 24-Сен-15
    • Выпуск LibreSSL 2.3.0,Аноним, 13:01 , 24-Сен-15
• Выпуск LibreSSL 2.3.0,Аноним, 21:00 , 26-Сен-15

Вот уже 3 релиза слышу про SSLv3. Так и не могут выпилить?

мне вот вообще неясно, зачем его героически выпиливать.
Существует куча исторического дерьма, где никаких других протоколов нет и не будет - потому что это железные appliance, древние софтины все-в-одном с вымершими разработчиками и т д.
Запретить случайное использование - да, сделать сборку требующей специальных телодвижений - ну-у-у-у, хрен знает, стоит ли этот геморрой свеч, а выпиливать вовсе - значит тем, кому оно на самом деле нужно, придется держать зоопарк. Популярности libressl это не прибавит ничуть.

При этом есть как минимум уже одна серьезная проблема, связанная с этим выпиливанием. Известна она - разработчикам nginx, в libressl не сдана, потому что тем пофиг. А это, вполне возможно - дыра для эксплойтов.

Абсолютно согласен. Необходимо оставить поддержку. Отключить по умолчанию в сборе - да. Но не совсем выпилить. Популярности точно не прибавит.

ну, в stable-ветке она кое-как оставлена, но, скажем, собрать любой распространенный браузер с ней не получится.
Угадайте, куда я пошлю идею на этом основании, к примеру, выбросить на помойку пару стоек серверов, у которых встроенный kvm поддерживает только и исключительно ssl3? При том что в public он, разумеется, не торчит, и ssl3 там вполне достаточен - защищает от случайного раскрытия данных, а от целенаправленной атаки есть другие меры.
Поэтому на помойку полетит именно libressl. Жаль, но выбора нет.

Firefox 39: Removed support for insecure SSLv3 for network.
Chrome вроде аналогично, хотя я не искал специально.
Слишком много на помойку выкидывать придется - может так получится, что дешевле выкинуть пару стоек серверов.

Выбор всегда есть - поставьте себе отдельный доисторический браузер с доисторической версией openssl или прокси и ходите на свое говножелезо.

> мне вот вообще неясно, зачем его героически выпиливать.

ему сказали adieu!
https://tools.ietf.org/html/rfc7568

Если бы мсье был хоть немного осведомлен о проекте OpenBSD, в рамках которого развивается LibreSSL, то знал бы, что это сообщество разработчиков, которое пытается сделать ПО лучше, жертвуя обратной совместимостью (и прочим подобным) в угоду пользе, во всяком случае так его позиционирует Тео. Если кому-то требуется работа с кучей исторического ПО - проследуйте в OpenSSL, благо он еще есть, а лучше перестаньте есть кактус.

мсье в достаточной степени знаком с openbsd, чтобы понять что вы несете полный бред. И ни Тео, ни кто другой ее никогда так не позиционировал. Как и libressl. Вот про "десять лет без эксплойтов выключенной из розетки системы" - это было, да.
А тому, чего ради эту затею на самом деле затевали - героическое "избавление от ssl3" скорее вредит, segfault'ы в nginx (в libressl из него некошерно вызываемой, на самом деле) тому подтверждение. Возможно - exploitable, никому "недосуг" разобраться.

Нет, работа с "кучей исторического ПО" не требуется (историческое ПО прекрасно соберется с историческими версиями библиотек и вряд ли - с современными), вы, видимо в силу весьма ограниченных знаний о мире, не осилили понять, о чем речь.

Подробнее про segfault'ы ?

http://forum.nginx.org/read.php?2,256381,256381

там мало подробностей, но вполне достаточно информации чтобы человек, обладающий должной квалификацией, разобрался. А у кого ее нет - не сможет зарепортить openbsd'шникам так чтоб его не послали, так что может не тратить время.

Тамошний топикстартер проигнорировал просьбы предоставить
отладочную информацию, ну и ссзб, что тут сказать.

тамошний топикстартер решил _свою_ проблему - таки уговорил воткнуть (мое) исправление в код nginx, которое просто заметает мусор под ковер - nginx перестает падать в этом месте. А решать проблему в самой libressl ни у него, ни у меня времени и вдохновения не возникло.

Еще раз - там достаточно информации чтобы любой желающий и имеющий достаточные знания мог воспроизвести проблему и убедиться. Если вы не хотите этого делать или у вас нет квалификации - я не настроен вас просвещать.

Есть идея на два миллиарда баксов. Надо следующую версию назвать 231

Леннарт, ты что ли?

Нет, его начальник. Леннарт на процедурах.

Пусть выпиливают все что считают ненужным, так можно держать код в чистоте, а вот те кому нужен старых код должны его сами поддерживать. Чистота кода значит меньше ошибок.