この翻訳は不完全です。英語から この記事を翻訳 してください。
はじめに
NSSチームはマイナーリリースであるNetwork Security Services (NSS) 3.18をリリースしました。
配布情報
HGタグはNSS_3_18_RTMです。NSS 3.18はNSPR 4.10.8またはそれより新しいバージョンを必要とします。
NSS 3.18のソースコードの配布物はftp.mozilla.orgまたは安全なHTTPSのダウンロードリンクから入手できます:
NSS 3.18で新しくなった点
新機能
- When importing certificates and keys from a PKCS#12 source, it's now possible to override the nicknames, prior to importing them into the NSS database, using new API SEC_PKCS12DecoderRenameCertNicknames.
- The tstclnt test utility program has new command-line options -C, -D, -b and -R.
Use -C one, two or three times to print information about the certificates received from a server, and information about the locally found and trusted issuer certificates, to diagnose server side configuration issues. It is possible to run tstclnt without providing a database (-D). A PKCS#11 library that contains root CA certificates can be loaded by tstclnt, which may either be the nssckbi library provided by NSS (-b) or another compatible library (-R).
新しい関数
- in certdb.h
- SEC_CheckCrlTimes - Check the validity of a CRL at the given time.
- SEC_GetCrlTimes - Extract the validity times from a CRL.
- in p12.h
- SEC_PKCS12DecoderRenameCertNicknames - call an application provided callback for each certificate found in a SEC_PKCS12DecoderContext.
- in pk11pub.h
- __PK11_SetCertificateNickname - this is an internal symbol for NSS use only, as with all exported NSS symbols that have a leading underscore '_'. Applications that use or depend on these symbols can and will break in future NSS releases.
新しい型
- in p12.h
- SEC_PKCS12NicknameRenameCallback - a function pointer definition. An application that uses SEC_PKCS12DecoderRenameCertNicknames must implement a callback function that implements this function interface.
NSS 3.18での目立った変更点
- 既定の状態で有効なTLSのプロトコルバージョンの最大値がTLS 1.0からTLS 1.2に引き上げられました。同様に、既定の状態で有効なDTLSのプロトコルバージョンの最大値もDTLS 1.0からDTLS 1.2に引き上げられました。
- RSA鍵ペアを生成する際にcertutilが使う鍵の既定のサイズが1024ビットから2048ビットに引き上げられました。
- Mac OS Xでは、OSにsqliteのライブラリのバージョン3.5またはそれ以上がインストールされている場合、既定の状態でsoftokn共有ライブラリにリンクされるようになりました。
- 以下の認証局証明書について、コードとWebサイトの署名に対する信頼のビットが無効化されました。
- OU = Equifax Secure Certificate Authority
- SHA1 Fingerprint: D2:32:09:AD:23:D3:14:23:21:74:E4:0D:7F:9D:62:13:97:86:63:3A
- CN = Equifax Secure Global eBusiness CA-1
- SHA1 Fingerprint: 7E:78:4A:10:1C:82:65:CC:2D:E1:F1:6D:47:B4:40:CA:D9:0A:19:45
- CN = TC TrustCenter Class 3 CA II
- SHA1 Fingerprint: 80:25:EF:F4:6E:70:C8:D4:72:24:65:84:FE:40:3B:8A:8D:6A:DB:F5
- OU = Equifax Secure Certificate Authority
- 以下の認証局証明書が追加されました。
- CN = Staat der Nederlanden Root CA - G3
- SHA1 Fingerprint: D8:EB:6B:41:51:92:59:E0:F3:E7:85:00:C0:3D:B6:88:97:C9:EE:FC
- CN = Staat der Nederlanden EV Root CA
- SHA1 Fingerprint: 76:E2:7E:C1:4F:DB:82:C1:C0:A6:75:B5:05:BE:3D:29:B4:ED:DB:BB
- CN = IdenTrust Commercial Root CA 1
- SHA1 Fingerprint: DF:71:7E:AA:4A:D9:4E:C9:55:84:99:60:2D:48:DE:5F:BC:F0:3A:25
- CN = IdenTrust Public Sector Root CA 1
- SHA1 Fingerprint: BA:29:41:60:77:98:3F:F4:F3:EF:F2:31:05:3B:2E:EA:6D:4D:45:FD
- CN = S-TRUST Universal Root CA
- SHA1 Fingerprint: 1B:3D:11:14:EA:7A:0F:95:58:54:41:95:BF:6B:25:82:AB:40:CE:9A
- CN = Entrust Root Certification Authority - G2
- SHA1 Fingerprint: 8C:F4:27:FD:79:0C:3A:D1:66:06:8D:E8:1E:57:EF:BB:93:22:72:D4
- CN = Entrust Root Certification Authority - EC1
- SHA1 Fingerprint: 20:D8:06:40:DF:9B:25:F5:12:25:3A:11:EA:F7:59:8A:EB:14:B5:47
- CN = CFCA EV ROOT
- SHA1 Fingerprint: E2:B8:29:4B:55:84:AB:6B:58:C2:90:46:6C:AC:3F:B8:39:8F:84:83
- CN = Staat der Nederlanden Root CA - G3
- ルート認証局リストのバージョン番号は2.3に更新されました。
NSS 3.18で修正されたバグ
NSS 3.18で修正されたバグの一覧を返すBugzillaのクエリは以下の通りです:
互換性
NSS 3.18共有ライブラリはすべての古いNSS 3.x共有ライブラリと後方互換性があります。古いNSS3.x共有ライブラリとリンクされたプログラムは、再コンパイルまたは再リンクなしでNSS 3.18と組み合わせて動作します。また、NSS公開関数に列挙された関数のみに限定してNSSのAPIを利用しているアプリケーションは、将来のバージョンのNSS共有ライブラリにおいても利用できます。
フィードバック
バグに遭遇した場合は、 bugzilla.mozilla.org に(プロダクトとしてNSSを選択して)バグレポートを登録して下さい。