The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск LibreSSL 2.6.3"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск LibreSSL 2.6.3"  +/
Сообщение от opennews (??) on 06-Ноя-17, 22:31 
Разработчики проекта OpenBSD представили (https://www.mail-archive.com/announce@openbsd.org/msg00...) выпуск переносимой редакции пакета LibreSSL 2.6.3 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. LibreSSL 2.6.3 объявлен первым стабильным выпуском серии 2.6.x. Поддержка прошлой стабильной ветки  LibreSSL 2.4.x прекращена.


Основные изменения в LibreSSL 2.6:

-  Добавлена поддержка загрузки в libtls списков отозванных сертификатов (CRL). Как только CRL будет предоставлен в libtls через вызов   функций tls_config_set_crl_file или tls_config_set_crl_mem включается проверка полной цепочки доверия для сертификатов;

-  Код проверки имени TLS-сертификата переработан  в направлении более жесткого следования RFC 6125 (https://tools.ietf.org/html/rfc6125);

-  Почищен и упрощён код для обработки обращений к серверам обмена ключами на основе эллиптических кривых (EC, Elliptic Curve), а также код для обработки конфигурации ключей  EC и параметров кривых;


-  Из функций BIO_get_accept_socket(), simplified
   BIO_get_host_ip() и BIO_accept() удалена неполноценная обработка IPv6;

-  Проверка SNI  упрощена для обеспечения соединения к TLS-серверу на базе libtls клиентов, не соответствующих RFC и использующих внутренние IP-адреса;

-  В libtls добавлена функция tls_peer_cert_chain_pem, которую можно использовать в callback-вызовах для приватной проверки сертификатов, как это делается, например, в relayd;
-  Добавлены функции SSL{,_CTX}_set_{min,max}_proto_version();
-  Из BoringSSL перенесена реализация  HKDF (https://en.wikipedia.org/wiki/HKDF) (HMAC Key Derivation Function);
-  Добавлена функция tls_unload_file для очистки памяти, возвращённой при вызове tls_load_file(), для того чтобы удостовериться, что осевшее в памяти содержимое недоступно после его обработки;

-  Для libtls tls_config реализован подсчёт ссылок, позволяющий вызвать
  tls_config_free как можно быстрее после финального вызова   tls_configure();

-  Заполнение полей со временем при генерации сертификата через команду "openssl ca" приведено в соответствие с требованиями RFC 5280 (https://tools.ietf.org/html/rfc5280);

-  Прекращена поддержка наборов шифров, использующих аутентификацию на базе DSS (https://ru.wikipedia.org/wiki/Digital_Signature_Standard) (Digital Signature Standard);

-  В libssl прекращена поддержка  DSS и DSA;

- Добавлена возможность использования трёх идентификаторов OID в сертификатах с расширенной проверкой EV (Extended Validation (https://en.wikipedia.org/wiki/Extended_Validation_Certificate));


-  Обеспечено разделение статусов самоподписанных сертификатов (self-signed) и самостоятельно выписанных сертификатов (self-issued);

-  Добавлен новый фреймворк для управления расширениями TLS, созданный по аналогии с подобным фреймворком из BoringSSL. Все TLS-расширения перенесены под управление нового фреймворка и добавлен новый тестовый набор для проверки расширений;

-  В libtls добавлена функция  tls_config_set_ecdhecurves(), которая позволяет задавать имена эллиптических кривых для использования при обмене ключами клиентом или сервером;

-  Очередная порция кода переведена на использование подсистем CBB/CBS;


-  Удалена поддержка потерявшего актуальность TLS-расширения NPN, развившегося в паре с SPDY, на смену которому вместе с HTTP/2 пришло TLS-расширение ALPN;

-  Удален код SSL_OP_CRYPTOPRO_TLSEXT_BUG, использовавшийся для обхода проблем в старых клиентах CryptoPro;

-   Удалена поддержка TLS-расширения с методом добавочного заполнения, применявшимся для обхода ошибки в продуктах F5;

-  Удалена старая реализация набора шифров chacha20-poly1305 (на смену пришла стандартизированная реализация IETF);
Добавлен код для обхода ошибки в обработчике завершения TLS-соединения, проявляющейся в продуктах F5;

-  Шифр ECDHE-RSA-DES-CBC3-SHA переведён из категории HIGH в MEDIUM;
Добавлены новые man-руководства и расширены существующие.


-  При вызове функции tls_config_parse_protocols() с указателем NULL теперь возвращается набор протоколов по умолчанию.


URL: https://www.mail-archive.com/announce@openbsd.org/msg00...
Новость: http://www.opennet.dev/opennews/art.shtml?num=47519

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск LibreSSL 2.6.3"  +/
Сообщение от Аноним (??) on 06-Ноя-17, 22:31 
Неплохо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск LibreSSL 2.6.3"  +1 +/
Сообщение от Аноним (??) on 06-Ноя-17, 23:12 
Что конкретно порадовало вас больше всего?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск LibreSSL 2.6.3"  +1 +/
Сообщение от Аноним (??) on 06-Ноя-17, 23:25 
> Что конкретно порадовало вас больше всего?

Не знаю, огорчаться или радоваться, не увидел ни одной закрытой уязвимости ;)


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Выпуск LibreSSL 2.6.3"  +5 +/
Сообщение от Аноним (??) on 06-Ноя-17, 23:37 
Неплохо
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Выпуск LibreSSL 2.6.3"  +/
Сообщение от Аноним (??) on 07-Ноя-17, 10:07 
Да они даже уязвимости в своём коде найти не могут! Вообще ничего в нём не понимают!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Выпуск LibreSSL 2.6.3"  –1 +/
Сообщение от Аноним (??) on 07-Ноя-17, 17:52 
а это и не их код.
И да, все существенные уязвимости в openssl найдены не ими.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Выпуск LibreSSL 2.6.3"  –1 +/
Сообщение от ssh (ok) on 07-Ноя-17, 19:51 
Хм, раз они сделали форк, то и код теперь их.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Выпуск LibreSSL 2.6.3"  –2 +/
Сообщение от Michael Shigorin email(ok) on 08-Ноя-17, 14:39 
> Что конкретно порадовало вас больше всего?

Возможно, то, что новость была отправлена с того же IP-адреса...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "Выпуск LibreSSL 2.6.3"  +/
Сообщение от alex118 on 14-Ноя-17, 15:07 
nat же...
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

5. "Выпуск LibreSSL 2.6.3"  +/
Сообщение от Аноним (??) on 07-Ноя-17, 00:56 
Viva OpenBSD team!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Выпуск LibreSSL 2.6.3"  –2 +/
Сообщение от Аноним (??) on 07-Ноя-17, 09:55 
>Почищен и упрощён код

доиграются они.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выпуск LibreSSL 2.6.3"  +2 +/
Сообщение от бедный буратино (ok) on 07-Ноя-17, 16:58 
надо надо умываться
по утрам и вечерам
а нечистым трубочистам стыд и срам

даздраствуетмылодушистое
изубнойпорошок
игустойгребешок

давайте же мыться плескаться
купаться нырять кувыркаться
и не забывать упрощать код

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Выпуск LibreSSL 2.6.3"  +/
Сообщение от ssh (ok) on 07-Ноя-17, 19:52 
> доиграются они.

Будь круче, закончи мысль!


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "Выпуск LibreSSL 2.6.3"  +/
Сообщение от freehck email(ok) on 08-Ноя-17, 12:22 
https://cs8.pikabu.ru/post_img/2016/09/14/9/1473863411143474...
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Выпуск LibreSSL 2.6.3"  +/
Сообщение от Аноним (??) on 14-Ноя-17, 19:41 
> Добавлены функции

Это не LibreSSL.
> Удален код
> Удалена поддержка
> Удалена старая реализация

Вот это - настоящий LibreSSL.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру