ニュース
「OpenSSL 3.3」が予定通りリリース ~QUIC接続のサポートを強化
SSL/TLSプロトコルを実装したオープンソースライブラリ
2024年4月10日 14:35
「OpenSSL」の開発チームは4月9日(協定世界時)、「OpenSSL 3.3.0」をリリースした。前回の「OpenSSL 3.2」は公開が少し遅れたが、今回は2024年4月中というアナウンス通りにリリースされた。
「OpenSSL」は、SSL/TLSプロトコルを実装したオープンソースライブラリ。ソースコードは現在、公式サイト「openssl.org」からダウンロード可能。不具合報告や機能追加の要望、プルリクエストは「GitHub」で受け付けている。「OpenSSL 3.3」における主な新要素は、以下の通りだ。
- QUIC接続をトレースするために「qlog」をサポート
- QUIC接続のネゴシエートされたアイドルタイムアウトを設定できるAPIと、QUIC接続に対して現在作成可能な追加ストリーム数を決定できるAPIが追加
- QUIC SSLオブジェクトの暗黙的なQUICイベント処理を無効にできるAPIが追加
- QUICストリームの書き込みバッファーのサイズと使用率を照会できるAPIを追加
- 新しいAPI「SSL_write_ex2」を追加。QUICを使用する際にストリームの終了(FIN)条件を送信して、通信を最適化するために利用できる
- QUIC接続とストリームオブジェクトをノンブロッキングでポーリングする機能を限定的にサポート
- 新しい「EVP_DigestSqueeze()」APIを追加。SHAKEが異なる出力サイズで複数回スクイーズできる
- 「pkg-config」エクスポーターとともに、Unix/Windowsの「CMake」用エクスポーターを追加
- 「BLAKE2s」のハッシュアルゴリズムが「BLAKE2b」の設定可能な出力長のサポートと一致するように
- 「EVP_PKEY_fromdata」関数が拡張され、CRT(中国剰余定理)パラメーターの導出が可能に
- 「SSL_SESSION_get_time_ex()」、「SSL_SESSION_set_time_ex()」API関数を追加
- 「openssl x509」に「-set_issuer」および「-set_subject」オプションを追加。証明書作成時にIssuerとSubjectを上書きできるように(「subj」オプションは「-set_subject」のエイリアスに)
- 「RFC 9480」および「RFC 9483」で定義されている「CMPv3」の新機能をいくつか追加
- 新しいオプション「SSL_OP_PREFER_NO_DHE_KEX」
- 「libcrypto」のアンロード時に「OPENSSL_cleanup」を登録するかどうかを制御する新しい「atexit」設定スイッチ
- マルチスレッド アプリケーションで既存の「X509_STORE_get0_objects」APIの問題を回避するために「X509_STORE_get1_objects」を追加
そのほかにも多くの新機能、不具合修正、問題の緩和策が含まれている。