Выпуск LibreSSL 2.3.0

24 сентября 2015 года

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.3.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.

Новая ветка ознаменовала начало разработки версии, которая будет развиваться параллельно с OpenBSD 5.9 и войдёт в состав данного релиза. Ветка 2.3.x позиционируется как экспериментальная и дополняет стабильные ветки 2.2.x и 2.1.x (стабилизация ABI/API LibreSSL 2.3.x ожидается в марте 2016 года).

Ключевые изменения:

• Удалён код, обеспечивающий поддержку SSLv3 и SHA-0;
• Внесены изменения в API libtls: добавлена поддержка верификации на стороне клиента (клиент инициирует передачу сертификата серверу), улучшена работа вызовов tls_read/write при использовании внешних библиотек с реализацией моделей асинхронной обработки событий;
• Добавлены дополнительные проверки параметров "p" и "q" сериализированных ключей DSA;
• Прекращена поддержка DTLS_BAD_VER (реализации до выпуска DTLSv1);
• В утилите openssl прекращена поддержка команды engine;
• Добавлен интерфейс OPENSSL_cpu_caps, запрещающий изменение флагов CPU из связанного с библиотекой приложения. Удалены вызовы OPENSSL_ia32cap и OPENSSL_ia32cap_loc;
• Утилита 'nc', которую можно использовать в качестве простой замены команд 'openssl s_client' и 'openssl s_server', переведена на использование библиотеки libtls для клиентских и серверных операций, и включена в состав архива libressl-portable в качестве примера использования libtls.