第3章 Red Hat build of OpenJDK の機能

最新の Red Hat build of OpenJDK 17 には、新機能が含まれている可能性があります。さらに、最新リリースは、以前の Red Hat build of OpenJDK 17 リリースに由来する機能を強化、非推奨、または削除する可能性があります。

Red Hat build of OpenJDK の機能強化

Red Hat build of OpenJDK 17 では、以前のリリースの Red Hat build of OpenJDK で作成された機能に拡張が行われました。

cpu.shares パラメーターが無効になっている

Red Hat build of OpenJDK 17.0.5 リリースより前は、Red Hat build of OpenJDK は、cgroups とも呼ばれる Linux コントロールグループに属する cpu.shares パラメーターの誤った解釈を使用していました。このパラメーターにより、Java 仮想マシン (JVM) が使用可能な CPU よりも少ない CPU を使用する可能性があり、コンテナー内で動作するときの JVM の CPU リソースとパフォーマンスに影響を与える可能性があります。

Red Hat build of OpenJDK 17.0.5 リリースでは、スレッドプールのスレッド数を決定するときに cpu.shares パラメーターを使用しないように JVM が設定されます。この設定を元に戻したい場合は、JVM の起動時に -XX:+UseContainerCpuShares 引数を渡します。

JDK-8281181 (JDK バグシステム) を参照してください。

SHA-1 署名 JAR

Red Hat build of OpenJDK 17.0.5 リリースでは、SHA-1 アルゴリズムで署名された JAR はデフォルトで制限され、署名されていないかのように扱われます。これらの制限は、次のアルゴリズムに適用されます。

さらに、制限は署名済みの Java Cryptography Extension (JCE) プロバイダーにも適用されます。

以前にタイムスタンプが付けられた JAR の互換性リスクを軽減するために、この制限は、SHA-1 アルゴリズムで署名され､January 01, 2019 より前にタイムスタンプが付けられた JAR には適用されません。この例外は、将来の Red Hat build of OpenJDK リリースで削除される可能性があります。

JAR ファイルが制限の影響を受けるかどうかを判断するには、CLI で次のコマンドを発行します。

jarsigner -verify -verbose -certs

$ jarsigner -verify -verbose -certs

前のコマンドの出力から、SHA1、SHA-1、または disabled のインスタンスを検索します。さらに、JAR が署名なしとして扱われることを示す警告メッセージを検索します。以下に例を示します。

Signed by "CN="Signer""
Digest algorithm: SHA-1 (disabled)
Signature algorithm: SHA1withRSA (disabled), 2048-bit key

WARNING: The jar will be treated as unsigned, because it is signed with a weak algorithm that is now disabled by the security property:

jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024, DSA keySize < 1024, SHA1 denyAfter 2019-01-01

Signed by "CN="Signer""
Digest algorithm: SHA-1 (disabled)
Signature algorithm: SHA1withRSA (disabled), 2048-bit key

WARNING: The jar will be treated as unsigned, because it is signed with a weak algorithm that is now disabled by the security property:

jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024, DSA keySize < 1024, SHA1 denyAfter 2019-01-01

新しい制限の影響を受けるすべての JAR をより強力なアルゴリズムに置き換えるか、再署名することを検討してください。

JAR ファイルがこの制限の影響を受ける場合は、アルゴリズムを削除して、SHA-256 などのより強力なアルゴリズムでファイルに再署名できます。Red Hat build of OpenJDK 17.0.5 の SHA-1 署名付き JAR に対する制限を削除する必要があり、セキュリティーリスクを受け入れる場合は、次のアクションを実行できます。

JDK-8269039 (JDK バグシステム) を参照してください。

SunMSCAPI プロバイダーは、新しい Microsoft Windows キーストアタイプをサポートします

SunMSCAPI プロバイダーは、ローカル名前空間を Windows- に追加する必要がある次の Microsoft Windows キーストアタイプをサポートしています。

これらのタイプのいずれかを指定することにより、ローカルコンピューターの Microsoft Windows キーストアの場所へのアクセスを提供できます。これにより、ローカルシステムに保存されている証明書へのキーストアアクセスが提供されます。

JDK-6782021 (JDK バグシステム) を参照してください。

HTTPURLConnection の keep-alive 動作を制御するためのシステムプロパティー

Red Hat build of OpenJDK 17.0.5 リリースには、HTTPURLConnection の キープアライブ 動作を制御するために使用できる次の新しいシステムプロパティーが含まれています。

Red Hat build of OpenJDK 17.0.5 リリースより前では、keep-alive 時間が指定されていないサーバーまたはプロキシーが原因で、ハードコードされたデフォルト値によって定義された期間、アイドル接続が開いたままになる場合がありました。

Red Hat build of OpenJDK 17.0.5 では、システムプロパティーを使用して keep-alive の時間のデフォルト値を変更できます。keep-alive プロパティーは、サーバーまたはプロキシーのいずれかの HTTP keep-alive 時間を変更することでこの動作を制御します。これにより、Red Hat build of OpenJDK の HTTP プロトコルハンドラーは、指定された秒数が経過した後にアイドル状態の接続を閉じます。

Red Hat build of OpenJDK 17.0.5 リリースより前では、次のユースケースで、HTTPURLConnection の特定の keep-alive 動作が発生していました。

Red Hat build of OpenJDK 17.0.5 リリースでは、前述の動作はそのままですが、2 番目と 3 番目に挙げた使用例におけるタイムアウトは、デフォルトの設定に依存するのではなく、http.keepAlive.time.server および http.keepAlive.time.proxy プロパティーを使用して指定できるようになっています。

JDK-8278067 (JDK バグシステム) を参照してください。