ニュース

「OpenSSL 3.3」が予定通りリリース ~QUIC接続のサポートを強化

SSL/TLSプロトコルを実装したオープンソースライブラリ

「OpenSSL」プロジェクトの公式ブログ

 「OpenSSL」の開発チームは4月9日(協定世界時)、「OpenSSL 3.3.0」をリリースした。前回の「OpenSSL 3.2」は公開が少し遅れたが、今回は2024年4月中というアナウンス通りにリリースされた。

 「OpenSSL」は、SSL/TLSプロトコルを実装したオープンソースライブラリ。ソースコードは現在、公式サイト「openssl.org」からダウンロード可能。不具合報告や機能追加の要望、プルリクエストは「GitHub」で受け付けている。「OpenSSL 3.3」における主な新要素は、以下の通りだ。

  • QUIC接続をトレースするために「qlog」をサポート
  • QUIC接続のネゴシエートされたアイドルタイムアウトを設定できるAPIと、QUIC接続に対して現在作成可能な追加ストリーム数を決定できるAPIが追加
  • QUIC SSLオブジェクトの暗黙的なQUICイベント処理を無効にできるAPIが追加
  • QUICストリームの書き込みバッファーのサイズと使用率を照会できるAPIを追加
  • 新しいAPI「SSL_write_ex2」を追加。QUICを使用する際にストリームの終了(FIN)条件を送信して、通信を最適化するために利用できる
  • QUIC接続とストリームオブジェクトをノンブロッキングでポーリングする機能を限定的にサポート
  • 新しい「EVP_DigestSqueeze()」APIを追加。SHAKEが異なる出力サイズで複数回スクイーズできる
  • 「pkg-config」エクスポーターとともに、Unix/Windowsの「CMake」用エクスポーターを追加
  • 「BLAKE2s」のハッシュアルゴリズムが「BLAKE2b」の設定可能な出力長のサポートと一致するように
  • 「EVP_PKEY_fromdata」関数が拡張され、CRT(中国剰余定理)パラメーターの導出が可能に
  • 「SSL_SESSION_get_time_ex()」、「SSL_SESSION_set_time_ex()」API関数を追加
  • 「openssl x509」に「-set_issuer」および「-set_subject」オプションを追加。証明書作成時にIssuerとSubjectを上書きできるように(「subj」オプションは「-set_subject」のエイリアスに)
  • 「RFC 9480」および「RFC 9483」で定義されている「CMPv3」の新機能をいくつか追加
  • 新しいオプション「SSL_OP_PREFER_NO_DHE_KEX」
  • 「libcrypto」のアンロード時に「OPENSSL_cleanup」を登録するかどうかを制御する新しい「atexit」設定スイッチ
  • マルチスレッド アプリケーションで既存の「X509_STORE_get0_objects」APIの問題を回避するために「X509_STORE_get1_objects」を追加

 そのほかにも多くの新機能、不具合修正、問題の緩和策が含まれている。