LibreSSL 2.3.0登場 - SSLv3を完全排除

OpenBSDプロジェクトは9月23日(カナダ時間)に公開したLibreSSLの最新版「LibreSSL 2.3.0」において、SSLv3関連のコードをすべて取り除きSSLv3のサポートを永久に排除したと伝えた。このバージョンは2016年3月ごろに安定版として扱われるようになる見通しで、それまでは開発版と位置づけられる。

「LibreSSL 2.3.0」における主な変更点は次のとおり。

SSLv3関連コードの削除とサポートの廃止
libtls APIを2.2.x系から変更
ECDH_compute_keyハンドリングにおけるバグの修正
DTLS_BAD_VER. Pre-DTLSv1サポートの廃止
engineコマンドとパラメータをopenssl(1)より排除
SHA-0の排除
デフォルトのcert.pemファイルへCertplus CA root証明書を追加

LibreSSLはOpenSSLから派生したソフトウェア。不要なコードの削除、危険なコードの書き換え、強度の低いアルゴリズムのサポート廃止などを進め、見通しがよくロバストでセキュリティ強度の高い実装を目指して開発を進めている。いくつかのディストリビューションはLibreSSLをデフォルトの実装に採用すべく検討を進めるなど、OpenSSLの代替として普及する兆しを見せている。