SSLv3やSHA-0サポートを削除した「LibreSSL 2.3」リリース

 OpenBSD ProjectのLibreSSL開発チームは9月23日、OpenSSLのフォーク「LibreSSL 2.3.0」をリリースした。SSLv3のサポートが廃止されるなどの強化が加わっている。

 LibreSSLは2014年春にOpenSSLの脆弱性、通称「Heartbleed」が問題となったことを受けてOpenBSDプロジェクトが立ち上げたTLS/SSLプロトコルのオープンソース実装プロジェクト。OpenSSL 1.0.1からのフォークとなり、コードのモダン化、安全性の強化、開発プロセスのベストプラクティスの応用を目標とする。プロジェクトはOpenBSD FoundationとOpenBSD Projectの支援を受けている。

 LibreSSL 2.3は6月に公開されたLibreSSL 2.2.0に続く最新版となる。OpenBSD 5.9系ベースの初のスナップショットとなり、今後さまざまな変更が加えられる可能性があるという。ABI/APIは2016年3月頃に安定版となる見通しとのことだ。

 本バージョンではSSLv3のサポートが完全に削除され、SHA-0、DTLS_BAD_VERサポートなども削除された。opensslコマンドでは各種エンジンコマンドやパラメーターの削除も行われている。

 また、libtlis APIが変更され、外部のイベントライブラリと組み合わせた際にも読み込み/書き出し関数が正常に動作するようになった。クライアントサイドの認証などの機能も追加される。

 このほか、ECDH_compute_keyのバグ修正や、デフォルトのcert.pemファイルにCertplus CAルート証明書が加わるなどの変更が加わっている。

LibreSSL
http://www.libressl.org/