Rustls 是一个用 Rust 编写的现代 TLS 库,旨在成为一个内存安全的 OpenSSL 替代品;它使用 ring 进行加密,使用 webpki 进行证书验证。Rustls 旨在提供良好的加密安全级别,无需配置即可实现该安全性,并且不提供不安全的功能或过时的加密技术。
Rustls 0.21.0 现已发布,此版本有两个主要的新功能和许多其他改进。
- 第一个重要特性是一项期待已久的功能 —— 支持包含 IP 地址的 TLS 证书。Rustls 现在可用于设置通过 IP 而不是域名寻址的 TLS 连接。这对于 Kubernetes pod 这样经常使用 IP 地址而不是域名的东西很有用;对于 HTTPS/TLS 上的 DNS 也很有用,它需要服务器的 IP 地址以避免对名称解析的循环依赖。
- 第二大特性是支持 RFC8446 C.4 客户端跟踪预防。这意味着被动网络观察者将不再能够将连接与 ticket reuse 相关联。
此外,公告还表示,Rustls 正收到来自 ISRG 的大力投资。“我们的目标是使 Rustls 成为需要 TLS 支持的软件中最具吸引力的选择。”
目前,Rustls 开发团队正在根据 Prossimo 倡议内容推动项目工作的进行。其中最重要的优先事项之一是启用可插拔的加密后端,这项功能将使 Rustls 用户有可能在 Ring 或 SymCrypt 等加密后端中进行选择。“我们希望这种可选择性能够减少大型组织在转向内存安全选项时的摩擦。”
下一个 Rustls 版本已经在积极开发当中。
更多详情可查看官方公告。
