「OpenSSL」なのに……次期バージョン「OpenSSL 4.0」で「SSL 3.0」対応が完全削除

「OpenSSL」プロジェクトの公式ブログ

　「OpenSSL」の次期バージョン「OpenSSL 4.0」では、「SSL 3.0」（Secure Sockets Layer version 3.0）サポートが完全に削除される。開発チームが4月7日（米国時間）、公式ブログで発表した。

　「OpenSSL」は、インターネット通信で用いられる暗号化実装を提供するオープンソースのライブラリ。SSL/TLSプロトコルの実装をはじめ、暗号化、復号、証明書の管理といった機能を提供する。

　「OpenSSL」は1998年12月の誕生当初から「SSL 2.0」（SSLv2）と「SSL 3.0」（SSLv3）の両方をサポートしてきた。つまり、「SSL 3.0」は四半世紀以上前の古い暗号化プロトコルということになる。その設計の古さから、「POODLE」脆弱性をはじめとする多くの問題が指摘されて久しい。

　そのため、「SSL 3.0」は「RFC 7568」（2015年6月発行）で廃止が勧告、「OpenSSL 1.0.2h」からはビルド時に既定で無効化されている。これまでは「SSL 3.0」を有効化してビルドすることもできたが、次期バージョン「OpenSSL 4.0」では「SSL 3.0」機能そのものが削除されるため、それも不可能となる。

　また、これにあわせて「SSLv2 Client Hello」も廃止されるとのこと。「SSL 3.0」や「SSLv2 Client Hello」を利用しているアプリケーションは、サポートされているTLSプロトコルのバージョン（現時点では「TLS 1.2」または「TLS 1.3」）へ移行する必要がある。

　なお、「OpenSSL 4.0」は3月24日の時点でベータ版に達している。このバージョンはもはや「SSL」をサポートしないが、「OpenSSL」の名前に変更はない。