В LibreSSL 4.0 внесены изменения для переносимости, исправлены ошибки и проведена внутренняя оптимизация. Добавлена поддержка OpenBSD 7.6, улучшена обработка ключей TLS, X.509 и RSA.
Проект LibreSSL, подпроект, тесно связанный с OpenBSD и реализацией протокола TLS с открытым исходным кодом, объявил о выпуске LibreSSL 4.0, который стал первым стабильным выпуском ветки 4.x.
Для тех, кто не знаком с ним, LibreSSL — это поставщик TLS по умолчанию для OpenBSD, Dragonfly BSD и OpenSSH в Windows. Кроме того, его можно выбрать в качестве поставщика для FreeBSD, Gentoo Linux, OPNsense и macOS.
Эта новая версия, доступная вместе с недавно выпущенной OpenBSD 7.6, содержит множество улучшений, исправлений ошибок и заметных изменений в кодовой базе.
Среди основных – LibreSSL 4.0 с улучшенной переносимостью и начальной поддержкой Emscripten в сборках CMake, а также с удаленной поддержкой платформы mips32.
Для пользователей Windows совместимость по датам была расширена после 2038 года, что повышает удобство использования в долгосрочной перспективе.
Внутри проекта были произведены значительные очистки, включая упрощение проверок доверия X509 и удаление устаревших реализаций шифрования на устаревших архитектурах.
Примечательно, что многие функции сборки были удалены из общедоступного API и теперь обернуты в функции C для лучшей ремонтопригодности и прозрачности.
Что касается новых функций, LibreSSL добавила опцию “CRLfile” в команду cms в openssl, которая помогает указывать дополнительные списки отзыва сертификатов (CRL) во время процессов проверки.
Более того, существенные обновления документации гарантируют, что материал остается точным и актуальным.
В последней версии также внесены изменения в совместимость, полностью исключив поддержку устаревших протоколов, таких как TLSv1.0 и TLSv1.1, и удалив несколько небезопасных или устаревших функций.
Поддержка Whirlpool также была прекращена, и разработчикам настоятельно рекомендовано перейти на более новые криптографические опции. Кроме того, было реализовано несколько новых тестов с обновленными сертификатами, а многие старые, менее безопасные функции были полностью удалены для обеспечения высочайшего уровня соответствия требованиям и безопасности.
LibreSSL 4.0 также включает в себя ряд исправлений ошибок. Были внесены улучшения в обмен ключами RSA, который теперь осуществляется в режиме постоянного времени для лучшей защиты от временных атак.
Кроме того, были внесены исправления для улучшения соответствия стандартам в отношении поддерживаемых групп и расширений общего доступа к ключам, что снижает риск неправильной настройки и уязвимостей в системе безопасности.
Более подробную информацию обо всех изменениях в LibreSSL 4.0 можно найти в объявлении в списке рассылки OpenBSD.