Il progetto LibreSSL, strettamente legato a OpenBSD, ha annunciato la pubblicazione di LibreSSL 4.0, la prima versione stabile della nuova serie 4.x. LibreSSL è un’implementazione open-source del protocollo TLS (Transport Layer Security), fondamentale per garantire la sicurezza delle comunicazioni su Internet.
Cos’è LibreSSL?
Per chi non lo conoscesse, LibreSSL è il fornitore predefinito del protocollo TLS su sistemi operativi come OpenBSD, DragonFly BSD e per OpenSSH su Windows. È inoltre possibile selezionarlo come provider TLS in altre distribuzioni come FreeBSD, Gentoo Linux, OPNsense e macOS. Questo lo rende una soluzione versatile e affidabile per chiunque voglia garantire una gestione sicura delle comunicazioni crittografate.
Caratteristiche principali della nuova versione
LibreSSL 4.0, rilasciata contemporaneamente all’uscita di OpenBSD 7.6, introduce numerosi miglioramenti, correzioni di bug e modifiche rilevanti al codice. Tra le novità più importanti, si segnala un miglioramento della portabilità con il supporto iniziale a Emscripten nei processi di compilazione con CMake, un noto strumento per la gestione dei progetti software. Inoltre, il supporto per l’architettura mips32 è stato rimosso, rendendo il progetto più moderno e snello.
Per chi utilizza LibreSSL su Windows, è stato esteso il supporto per la compatibilità delle date oltre il 2038, risolvendo una problematica legata al cosiddetto “Year 2038 Problem“, che in passato aveva limitato l’uso a lungo termine delle librerie crittografiche.
Pulizia interna e miglioramenti di sicurezza
Il team di sviluppo di LibreSSL ha compiuto un grande lavoro di semplificazione del codice, con significative pulizie interne. In particolare, sono stati semplificati i controlli sulla fiducia nei certificati X509, un elemento chiave per garantire la validità dei certificati digitali. Sono state inoltre eliminate alcune implementazioni di cifratura obsolete su architetture più datate, riducendo così il rischio di vulnerabilità derivanti da tecniche ormai superate.
Un altro intervento significativo è stato la rimozione di molte funzioni in assembly dall’API pubblica (l’interfaccia di programmazione) che sono state ora incapsulate in funzioni scritte in C, rendendo il codice più facile da mantenere e aumentandone la trasparenza.
Nuove funzionalitÃ
Una delle principali novità introdotte da LibreSSL 4.0 è l’aggiunta dell’opzione “CRLfile†al comando cms all’interno di openssl. Questa funzione consente di specificare ulteriori elenchi di revoca dei certificati (Certificate Revocation Lists, CRL) durante i processi di verifica, migliorando il controllo e la gestione dei certificati digitali compromessi.
Inoltre, un significativo aggiornamento della documentazione garantisce che il materiale tecnico sia accurato e aggiornato, facilitando l’utilizzo da parte di sviluppatori e amministratori di sistema.
Rimozione di protocolli e funzioni obsolete
Uno dei punti cardine di questa versione è la completa rimozione del supporto per protocolli deprecati come TLSv1.0 e TLSv1.1, ormai considerati insicuri e superati dagli standard moderni. Questo rende LibreSSL 4.0 una scelta obbligata per chi vuole garantire la massima sicurezza nelle connessioni.
Anche il supporto per l’algoritmo di hash Whirlpool è stato rimosso. Questo algoritmo, sebbene popolare in passato, è stato sostituito da soluzioni più sicure ed efficienti. Gli sviluppatori sono quindi invitati a migrare verso opzioni crittografiche più moderne.
Bug fix e miglioramenti
LibreSSL 4.0 include una serie di correzioni di bug che migliorano ulteriormente la sicurezza e la conformità agli standard. In particolare, sono stati fatti progressi nei processi di scambio chiavi RSA (RSA key exchange), che ora sono implementati in tempo costante per proteggere meglio contro attacchi a cronometraggio (timing attacks).
Inoltre, sono stati introdotti miglioramenti per garantire una maggiore aderenza agli standard relativi ai gruppi supportati e alle estensioni di condivisione delle chiavi (key share extensions), riducendo così i rischi di configurazioni errate e vulnerabilità di sicurezza.
Ulteriori test e aggiornamenti
Sono stati implementati nuovi test con certificati aggiornati, garantendo una maggiore robustezza del sistema di verifica. Molte vecchie funzioni meno sicure sono state completamente rimosse, con l’obiettivo di garantire il massimo livello di conformità e sicurezza per gli utenti.
Per coloro che desiderano esaminare nel dettaglio tutte le modifiche apportate in LibreSSL 4.0, il registro di sistema (changelog) completo è disponibile nell’annuncio ufficiale pubblicato sulla mailing list di OpenBSD. Questo documento fornisce un elenco completo delle novità , delle modifiche al codice e delle correzioni di bug implementate nella versione.
Fonte: https://marc.info/?l=openbsd-announce&m=172897399729957
Fonte: https://www.phoronix.com/news/LibreSSL-4.0-Released
Fonte: https://linuxiac.com/libressl-4-0-debuts-with-enhanced-security-and-bug-fixes/
Source: Read More