第2章 Eclipse Temurin の機能

Eclipse Temurin には、OpenJDK のアップストリームディストリビューションの構造の変更は含まれません。

Eclipse Temurin の最新の OpenJDK 21 リリースに含まれる変更点とセキュリティー修正のリストは、OpenJDK 21.0.7 Released を参照してください。

新機能および機能拡張

Eclipse Temurin 21.0.7 には、次の新機能と機能拡張が含まれています。

削除されたファイルエントリーに関する jarsigner ツールからの警告

以前の OpenJDK リリースでは、署名された JAR ファイルからファイルが削除されたが、ファイルの署名がまだ存在すると、jarsigner ツールがこの状況を検出しませんでした。

OpenJDK 21.0.7 では、jarsigner ‑verify コマンドを使用して、すべての署名に一致するファイルエントリーがあることを確認できます。不一致が存在すると、このコマンドは警告を出力します。一致しないエントリーの名前を表示するには、コマンドに ‑verbose オプションを追加します。

JDK-8309841 (JDK Bug System) を参照してください。

2025 年 4 月 15 日以降に発行され、Camerfirma ルート CA によってアンカーされた TLS サーバー証明書の信頼解除

Google、Mozilla、Apple、Microsoft が最近発表した同様の計画に従い、OpenJDK 21.0.7 は、2025 年 4 月 15 日以降に発行され、Camerfirma ルート証明書によってアンカーされている TLS 証明書を信頼しません。

OpenJDK は、2025 年 4 月 15 日以前に発行された証明書を、その証明書の有効期限が切れるまで引き続き信頼します。

サーバーの証明書チェーンが影響を受ける証明書によってアンカーされている場合は、TLS セッションをネゴシエートしようとすると、トラストアンカーが信頼されていないことを示す例外が発生して失敗するようになりました。以下に例を示します。

TLS server certificate issued after 2025-04-15 and anchored by a distrusted legacy Camerfirma root CA: CN=Chambers of Commerce Root -
2008, O=AC Camerfirma S.A., SERIALNUMBER=A82743287, L=Madrid (see current address at www.camerfirma.com/address), C=EU

TLS server certificate issued after 2025-04-15 and anchored by a distrusted legacy Camerfirma root CA: CN=Chambers of Commerce Root -
2008, O=AC Camerfirma S.A., SERIALNUMBER=A82743287, L=Madrid (see current address at www.camerfirma.com/address), C=EU

次の keytool コマンドを使用して、この変更が JDK キーストア内の証明書に影響するかどうかを確認できます。

keytool -v -list -alias <your_server_alias> -keystore <your_keystore_filename>

この変更がチェーン内のいずれかの証明書に影響する場合は、この証明書を更新するか、証明書の管理を担当する組織に問い合わせてください。

Camerfirma ルート証明書でアンカーされた TLS サーバー証明書を引き続き使用する場合は、jdk.security.caDistrustPolicies セキュリティープロパティーから CAMERFIRMA_TLS を削除するには、java.security 設定ファイルを変更するか、java.security.properties システムプロパティーを使用します。

これらの制限は、OpenJDK に含まれる次の Camerfirma ルート証明書に適用されます。

JDK-8346587 (JDK Bug System) を参照してください。

PKCS11 メカニズムにおける SunPKCS11 プロバイダーのチェックの問題の修正

OpenJDK 14 では、SunPKCS11 プロバイダーによって レガシーメカニズム の概念が導入されました。メカニズムが弱いアルゴリズムを使用していると、プロバイダーはこのメカニズムがレガシーであると判断し、その後無効にします。

以前のリリースでは、この動作は柔軟性に欠けていました。たとえば、従来の決定をオーバーライドして、無効なメカニズムを有効にすることはできません。また、暗号化が使用されていない場合でも、署名に使用されていたメカニズムは、暗号化アルゴリズムが弱い場合はレガシーとみなされ、無効になる可能性があります。同様に、弱い署名アルゴリズムにより、このメカニズムを暗号化または復号化の暗号として使用できませんでした。

OpenJDK 21.0.7 では、SunPKCS11 プロバイダーの allowLegacy 設定プロパティーを導入することでこれらの問題を解決します。allowLegacy プロパティーを true に設定して、レガシーの決定をオーバーライドできます。このプロパティーはデフォルトで false に設定されています。

このリリース以降、プロバイダーはレガシーステータスを決定する際にサービスタイプも考慮します。プロバイダーは、暗号には暗号化アルゴリズムのみをチェックし、署名には署名アルゴリズムのみをチェックするようになりました。

JDK-8293345 (JDK Bug System) を参照してください。

改訂日時: 2025-04-30