「OpenSSL 3.3」が予定通りリリース ～QUIC接続のサポートを強化

「OpenSSL」プロジェクトの公式ブログ

　「OpenSSL」の開発チームは4月9日（協定世界時）、「OpenSSL 3.3.0」をリリースした。前回の「OpenSSL 3.2」は公開が少し遅れたが、今回は2024年4月中というアナウンス通りにリリースされた。

　「OpenSSL」は、SSL/TLSプロトコルを実装したオープンソースライブラリ。ソースコードは現在、公式サイト「openssl.org」からダウンロード可能。不具合報告や機能追加の要望、プルリクエストは「GitHub」で受け付けている。「OpenSSL 3.3」における主な新要素は、以下の通りだ。

• QUIC接続をトレースするために「qlog」をサポート
• QUIC接続のネゴシエートされたアイドルタイムアウトを設定できるAPIと、QUIC接続に対して現在作成可能な追加ストリーム数を決定できるAPIが追加
• QUIC SSLオブジェクトの暗黙的なQUICイベント処理を無効にできるAPIが追加
• QUICストリームの書き込みバッファーのサイズと使用率を照会できるAPIを追加
• 新しいAPI「SSL_write_ex2」を追加。QUICを使用する際にストリームの終了（FIN）条件を送信して、通信を最適化するために利用できる
• QUIC接続とストリームオブジェクトをノンブロッキングでポーリングする機能を限定的にサポート
• 新しい「EVP_DigestSqueeze()」APIを追加。SHAKEが異なる出力サイズで複数回スクイーズできる
• 「pkg-config」エクスポーターとともに、Unix/Windowsの「CMake」用エクスポーターを追加
• 「BLAKE2s」のハッシュアルゴリズムが「BLAKE2b」の設定可能な出力長のサポートと一致するように
• 「EVP_PKEY_fromdata」関数が拡張され、CRT（中国剰余定理）パラメーターの導出が可能に
• 「SSL_SESSION_get_time_ex()」、「SSL_SESSION_set_time_ex()」API関数を追加
• 「openssl x509」に「-set_issuer」および「-set_subject」オプションを追加。証明書作成時にIssuerとSubjectを上書きできるように（「subj」オプションは「-set_subject」のエイリアスに）
• 「RFC 9480」および「RFC 9483」で定義されている「CMPv3」の新機能をいくつか追加
• 新しいオプション「SSL_OP_PREFER_NO_DHE_KEX」
• 「libcrypto」のアンロード時に「OPENSSL_cleanup」を登録するかどうかを制御する新しい「atexit」設定スイッチ
• マルチスレッド アプリケーションで既存の「X509_STORE_get0_objects」APIの問題を回避するために「X509_STORE_get1_objects」を追加

　そのほかにも多くの新機能、不具合修正、問題の緩和策が含まれている。