2.12.33 暗号アルゴリズムに関する動作の変更について

本節に記載の暗号アルゴリズムに関する動作変更の詳細は、以下のドキュメントから、変更になったUpdateの注意事項を参照してください。

JDK/JRE 7 ：
https://www.oracle.com/java/technologies/javase/7-support-relnotes.html
JDK/JRE 8 ：
https://www.oracle.com/java/technologies/javase/8u-relnotes.html

Interstage Application Server V12.0.0での変更点

Interstage Application Server V12.0.0より、V11.2.0 以前で使用できていた暗号アルゴリズムが使用できなくなります。

RC4が利用可能な暗号スイートから外されたため、JSSEプロバイダーによってRC4を利用したSSL/TLS通信ができなくなりました。
暗号スイートとしてRC4を指定している場合は、RC4以外を使用するようにアプリケーションを変更してください。
(RC以外の暗号スイートの使用を禁止していない場合、自動的に使用可能な暗号スイートが選択されます。)
- JDK/JRE 7 ：Update 85以降 (Interstage Application Server V12.0.0)
- JDK/JRE 8 ：Update 60以降 (Interstage Application Server V12.0.0)
SSL/TLS通信で使用されるX.509証明書を作成または使用する時、MD5アルゴリズムが利用できなくなりました。
暗号スイートとしてMD5アルゴリズムではなく、SHA-2アルゴリズムを使用してください。
- JDK/JRE 7 ：Update 95以降(Interstage Application Server V12.0.0)
- JDK/JRE 8 ：Update 71以降(Interstage Application Server V12.0.0)

Interstage Application Server V12.1.0での変更点

Interstage Application Server V12.1.0より、暗号アルゴリズムに関する動作が、V12.0.0 以前と変わる場合があります。

署名付きJARファイルがMD5を使用している場合、そのJARは署名されていないものとして扱われます。
- JDK/JRE 7 ：Update 141以降(Interstage Application Server V12.1.0)
- JDK/JRE 8 ：Update 131以降(Interstage Application Server V12.1.0)
keytoolおよびjarsignerのデフォルトの署名アルゴリズムが、基になる鍵ペアがDSA鍵の場合に、SHA1withDSAからSHA256withDSAへ変更されました。また、基になる鍵ペアがDSA鍵の場合、keytoolのデフォルトのキーサイズは1024ビットから2048ビットへ変更されました。
これにより、デフォルトの署名アルゴリズムを利用している場合、署名や検証で失敗する可能性があります。
- JDK/JRE 7 ：Update 161以降(Interstage Application Server V12.1.0)
- JDK/JRE 8 ：Update 151以降(Interstage Application Server V12.1.0)

Interstage Application Server V12.2.0での変更点

Interstage Application Server V12.2.0より、暗号アルゴリズムに関する動作が、V12.1.0 以前と変わる場合があります。

1024ビット未満のDiffie-Hellman(DH)鍵は、デフォルトで無効になりました。
- JDK/JRE 7 ：Update 171以降(Interstage Application Server V12.2.0)
- JDK/JRE 8 ：Update 161以降(Interstage Application Server V12.2.0)
暗号アルゴリズムの強度が無制限である、JCE管轄ポリシーファイルがデフォルトで使われます。
- JDK/JRE 7 ：Update 171以降(Interstage Application Server V12.2.0)
- JDK/JRE 8 ：Update 161以降(Interstage Application Server V12.2.0)
長さが224bit未満のEC鍵で署名されたXML署名が無効になりました。
- JDK/JRE 8 ：Update 171以降(Interstage Application Server V12.2.0)
SSL/TLS接続において、3DES暗号スイートは、デフォルトで無効になりました。
- JDK/JRE 7 ：Update 181以降(Interstage Application Server V12.2.0)
- JDK/JRE 8 ：Update 171以降(Interstage Application Server V12.2.0)
SSL/TLS接続において、DES暗号スイートは、デフォルトで無効になりました。
- JDK/JRE 7 ：Update 201以降(Interstage Application Server V12.2.0)
- JDK/JRE 8 ：Update 191以降(Interstage Application Server V12.2.0)
SSL/TLS接続において、anonおよびNULL暗号スイートは、デフォルトで無効になりました。
- JDK/JRE 7 ：Update 211以降(Interstage Application Server V12.2.0)
- JDK/JRE 8 ：Update 201以降(Interstage Application Server V12.2.0)

Interstage Application Server V13.0.0での変更点

Interstage Application Server V13.0.0より、暗号アルゴリズムに関する動作が、V12.3.0 以前と変わる場合があります。

TLSにおいて、SunECプロバイダで提供される楕円曲線から、強度が弱くなった楕円曲線がデフォルトで無効になりました。
- OpenJDK 8 ：Update 231以降
TLS、CertPath、および署名付きJARにおいて、SunECプロバイダで提供される楕円曲線から、強度が弱くなった楕円曲線がデフォルトで無効になりました。
- OpenJDK 8 ：Update 271以降