Разработчики проекта OpenBSD представили (http://www.mail-archive.com/announce@openbsd.org/msg001...) выпуск переносимой редакции пакета LibreSSL 2.6.0 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Одновременно доступно корректирующее обновление прошлой ветки - 2.5.5, которая позиционируется как стабильная и формирует функциональность, которая включена в OpenBSD 6.1. Выпуск LibreSSL 2.6.0 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 6.2.Особенности LibreSSL 2.6.0:
- Добавлены средства предоставления списков отозванных сертификатов (CRL) для libtls. Как только CRL будет предоставлен в libtls будет включена проверка полной цепочки доверия для сертификатов;
- Из BoringSSL (https://www.opennet.me/opennews/art.shtml?num=40049) перенесена реализация HKDF (https://en.wikipedia.org/wiki/HKDF) (HMAC Key Derivation Function);
- Реализована возможность обращения к серверу с виртуальными хостами на основе SNI через указание IP-адреса в качестве имени хоста;
- Добавлена возможность использования трёх идентификаторов OID в сертификатах с расширенной проверкой EV (Extended Validation (https://en.wikipedia.org/wiki/Extended_Validation_Certificate));
- В libtls добавлена функция tls_peer_cert_chain_pem, которую можно использовать в callback-вызовах для приватной проверки сертификатов, как это делается, например, в relayd;
- Переработан код для проверки имён в сертификатах TLS на соответствия требованиям RFC 6125 (https://tools.ietf.org/html/rfc6125);
- Почищен и упрощён код для обработки обращений к серверам обмена ключами на основе эллиптических кривых (EC, Elliptic Curve);
- Добавлена функция tls_keypair_clear_key для проведения чистки материалов ключа;
- Заполнение полей со временем при генерации сертификата через команду "openssl ca" приведено в соответствие с требованиями RFC 5280 (https://tools.ietf.org/html/rfc5280);
- Добавлен набор функций SSL{,_CTX}_set_{min,max}_proto_version();
- Добавлена функция tls_unload_file() для чистки памяти, возвращаемой после вызоваtls_load_file(), для того чтобы удостовериться, что осевшее в памяти содержимое недоступно после его обработки;
- Прекращена поддержка набора шифров с аутентификацией DSS (https://ru.wikipedia.org/wiki/Digital_Signature_Standard) (Digital Signature Standard);
- В команду nc добавлена опция "-W" для выхода после приёма определённого числа пакетов и опция "-Z" для сохранения сертификата другой стороны в pem-файле;
- Из изменений в LibreSSL 2.5.5 отмечается улучшение совместимости с библиотекой bionic (Android libc) и разделение статусов самоподписанных сертификатов (self-signed) и самостоятельно выписанных сертификатов (self-issued).
URL: http://www.mail-archive.com/announce@openbsd.org/msg001...
Новость: http://www.opennet.me/opennews/art.shtml?num=46850