Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.6.1, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 2.6.1 продолжает развитие экспериментальной ветки, в которой наращиваются возможности для включения в состав OpenBSD 6.2.
Основные изменения в LibreSSL 2.6.1:
- В утилиту nc добавлен флаг "-T tlscompat", который включает все расширения протокола TLS и наборы шифров категории "compat", что позволяет подсоединиться к TLS-серверам с недостаточно качественным набором шифров без необходимости включения всех имеющихся шифров опцией "-T tlsall";
- Добавлен новый фреймворк для управления расширениями TLS, созданный по аналогии с подобным фреймворком из BoringSSL. Все TLS-расширения перенесены под управление нового фреймворка и добавлен новый тестовый набор для проверки расширений;
- Проведена чистка кода обработки конфигурации ключей и параметров эллиптических кривых;
- В libtls добавлена функция tls_config_set_ecdhecurves(), позволяющая выбрать имена эллиптических кривых, которые можно использовать для обмена ключами между клиентом и сервером;
- Очередная порция кода переведена на использование подсистем CBB/CBS;
- Удалена поддержка DSS/DSA;
- Удалена поддержка потерявшего актуальность TLS-расширения NPN, развившегося в паре с SPDY, на смену которому вместе с HTTP/2 пришло TLS-расширение ALPN;
- Удален код SSL_OP_CRYPTOPRO_TLSEXT_BUG, использовавшийся для обхода проблем в старых клиентах CryptoPro;
- Удалена поддержка TLS-расширения с методом добавочного заполнения, применявшимся для обхода ошибки в продуктах F5;
- Удалена старая реализация набора шифров chacha20-poly1305 (на смену пришла стандартизированная реализация IETF);
- Добавлен код для обхода ошибки в обработчике завершения TLS-соединения, проявляющейся в продуктах F5;
- Добавлен API SSL_CTX_set_min_proto_version();
- Шифр ECDHE-RSA-DES-CBC3-SHA переведён из категории HIGH в MEDIUM;
- Добавлены новые man-руководства и расширены существующие.
|