Red Hat Summit第3章 Red Hat build of OpenJDK の機能
最新の Red Hat build of OpenJDK 11 リリースには、新機能が含まれる可能性があります。さらに、最新リリースは、以前の Red Hat build of OpenJDK 11 リリースに由来する機能を強化、非推奨、または削除する可能性があります。
その他の変更点やセキュリティー修正は、OpenJDK 11.0.21 Released を参照してください。
3.1. Red Hat build of OpenJDK の新しい機能と機能拡張
Red Hat build of OpenJDK 11.0.21 リリースが提供する新しい機能と機能拡張について理解するには、以下のリリースノートを参照してください。
TLS Diffie-Hellman のデフォルトのグループサイズが増加しました
Red Hat build of OpenJDK 11.0.21 では、Transport Layer Security (TLS) 1.2 の JDK 実装は、デフォルトの Diffie-Hellman キーサイズである 2048 ビットを使用します。これは、デフォルトの Diffie-Hellman キーサイズが 1024 ビットであった以前のリリースの動作を置き換えるものです。
これは、TLS_DHE 暗号スイートがネゴシエートされ、クライアントまたはサーバーのいずれかが Finite Field Diffie-Hellman Ephemeral (FFDHE) パラメーターをサポートしない場合にかかわってくる拡張機能です。JDK TLS 実装は FFDHE をサポートします。FFDHE 、デフォルトで有効になっており、より強力なキーサイズをネゴシエートできます。
回避策として、jdk.tls.ephemeralDHKeySize システムプロパティーを 1024 に設定することで、以前のキーサイズに戻すことができます。リスクを軽減するためには、デフォルトのキーサイズである 2048 ビットを使用することを検討してください。
TLS 1.3 はすでに 2048 ビットの最小 Diffie-Hellman キーサイズを使用しているため、この変更の影響は受けません。
JDK-8301700 (JDK Bug System) を参照してください。
サーバー側の暗号スイート設定がデフォルトで使用されるようになりました
Red Hat build of OpenJDK 11.0.21 では、SunJSSE プロバイダーがデフォルトでローカルのサーバー側の暗号スイート設定を使用します。これは、サーバーが接続クライアントが指定した設定を使用していた以前のリリースの動作に代わるものです。
サーバー側で SSLParameters.setUseCipherSuitesOrder(false) を使用すると、以前の動作に戻すことができます。
JDK-8168261 (JDK Bug System) を参照してください。
PKCS#1 形式の RSA 鍵がサポートされるようになりました
JDK プロバイダーが、SunRsaSign プロバイダーの RSA KeyFactory.impl など、PKCS#1 形式の RSA (Rivest-Shamir-Adleman) 秘密鍵および公開鍵を受け入れることができるようになりました。この機能を使用するには、RSA 秘密鍵または公開鍵オブジェクトが PKCS#1 形式であり、PKCS#1 RSA 秘密鍵および公開鍵の ASN.1 構文に一致するエンコーディングである必要があります。
JDK-8023980 (JDK Bug System) を参照してください。
-XshowSettings:locale 出力に tzdata バージョンが含まれました
Red Hat build of OpenJDK 11.0.21 では、-XshowSettings ランチャーオプションにより JDK が使用する tzdata バージョンも出力されます。tzdata のバージョンは、-XshowSettings:locale オプションの出力の一部として表示されます。
以下に例を示します。
Locale settings:
default locale = English
default display locale = English
default format locale = English
tzdata version = 2023cJDK-8305950 (JDK Bug System) を参照してください。
Certigna ルート CA 証明書の追加
Red Hat build of OpenJDK 11.0.21 では、cacerts トラストストアに Certigna ルート証明書が含まれています。
- 名前: Certigna (Dhimyotis)
- エイリアス名: certignarootca
- 識別名: CN=Certigna Root CA、OU=0002 48146308100036、O=Dhimyotis、C=FR
JDK-8314960 (JDK Bug System) を参照してください。
デフォルトの java.security ファイルのロードに失敗した場合にエラーが出力されるようになりました
以前のリリースでは、java.security ファイルが正常にロードできなかった場合、Red Hat build of OpenJDK はハードコードされたセキュリティープロパティーのセットを使用していました。しかし、このプロパティーのセットは十分に維持管理されておらず、JDK がこれらのユーティリティーを使用していることがユーザーにはわかりませんでした。
この問題に対処するために、java.security ファイルが正常にロードできない場合、Red Hat build of OpenJDK 11.0.21 は代わりに InternalError を出力します。
JDK-8155246 (JDK バグシステム) を参照してください。
いくつかの JAAS コールバッククラスで配列が複製されるようになりました
以前のリリースでは、ChoiceCallback および ConfirmationCallback JAAS クラスで、配列がコンストラクターに渡されるとき、または返されるときに、配列が複製されませんでした。この動作により、外部プログラムがこれらのクラスの内部フィールドにアクセスできるようになっていました。
Red Hat build of OpenJDK 11.0.21 では、JAAS クラスは複製された配列を返します。
JDK-8242330 (JDK Bug System) を参照してください。
