11.2. 安全性

IPsec ondemand 连接不再无法建立

在以前的版本中，当使用 TCP 协议配置了带有 ondemand 选项的 IPsec 连接时，连接无法建立。有了此更新，新的 Libreswan 软件包确保初始 IKE 协商通过 TCP 完成。因此，Libreswan 可以成功地建立连接，即使在 IKE 协商的 TCP 模式下。

NSS 现在在 FIPS 模式下强制实施 EMS

网络安全服务(NSS)库现在包含 TLS-REQUIRE-EMS 关键字，来对所有 TLS 1.2 连接要求使用 Extended Master Secret(EMS)扩展(RFC 7627)，如 FIPS 140-3 标准所强制的那样。当系统范围的加密策略被设置为 FIPS 时，NSS 使用新的关键字。

shlibsign 现在可以在 FIPS 模式下正常工作

在此更新之前，shlibsign 程序在 FIPS 模式下无法正常工作。因此，当您在 FIPS 模式下重新构建 NSS 库时，您必须离开 FIPS 模式才能对库进行签名。程序已被修复，您现在可以在 FIPS 模式下使用 shlibsign。

OpenSSL 密码套件不再启用带有禁用的哈希或 MAC 的密码套件

在以前的版本中，应用自定义加密策略可能会启用某些 TLS 1.3 密码套件，即使其哈希或 MAC 被禁用了，因为 OpenSSL TLS 1.3 特定的 Ciphersuites 选项值仅被加密策略的 ciphers 选项控制。有了此更新，在决定是否启用密码套件时，crypto-policies 会考虑更多的算法。因此，具有自定义加密策略的系统上的 OpenSSL 可能会拒绝与一些之前启用的 TLS 1.3 密码套件进行协商，以更好地符合系统配置。

update-ca-trust extract 不再无法提取具有长名称的证书

从信任存储中提取证书时，信任 工具内部从证书的对象标签生成文件名。对于足够长的标签，生成的路径可能之前已超过系统的最大文件名长度。因此，trust 工具无法创建具有超过系统的最大文件名长度的文件。有了此更新，派生的名称总是被截断为 255 个字符以内。因此，当证书的对象标签太长时，文件创建不会失败。

放弃了对 libcap 的二进制测试

annocheck 工具在 libcap 库函数中发现了二进制软件包，该软件包是在没有 RHEL 10 架构所需标记的情况下构建的。我们检查了潜在问题的标志，但没有发现任何问题。仔细调查后，我们放弃了 libcap 的结果。因此，对 libcap 的所有测试都通过了。