JDK 18の重要なセキュリティ・アップデートは次のとおりです:

• 無効なSHA-1署名済JAR
• java.security.managerシステム・プロパティのデフォルト値をdisallowに変更
• 拡張が解析できない場合にX509Certificate.get{Subject、Issuer}AlternativeNamesおよびgetExtendedKeyUsageがCertificateParsingExceptionをスローしない
• SunJCEプロバイダのKWおよびKWPモードに関する問題の修正
• デフォルトのkrb5 etypeリストから削除された弱いetype

削除された証明書

次の証明書またはオプションはJava SE 18から削除されました:

• IdenTrustルート証明書
• GoogleのGlobalSignルート証明書
• krb5.confのdefault_checksumおよびsafe_checksum_type

セキュリティ関連の変更の詳細は、リリース・ノートを参照してください。

JDK 17の重要なセキュリティ・アップデートは次のとおりです:

• keytool -genkeypairコマンドでの署名者の指定のサポート
• SunJCEプロバイダプロバイダでサポートされているAES暗号を使用したKWおよびKWPモード
• システム・プロパティで構成可能な拡張機能
• Telia CompanyのSonera Class2 CA証明書の削除

セキュリティ関連の変更の詳細は、リリース・ノートを参照してください。

JDK 16の重要なセキュリティ・アップデートは次のとおりです:

• RSASSA-PSSおよびEdDSAの署名付きJARサポート
• SUN、SunRsaSignおよびSunECプロバイダでサポートされているSHA-3-based署名アルゴリズム
• SunPKCS11プロバイダでサポートされているSHA-3関連アルゴリズム
• TLSでサポートされているEdDSA署名アルゴリズム

セキュリティ関連の変更の詳細は、リリース・ノートを参照してください。

次に、JDK 15での重要なセキュリティ・アップデートを示します:

• 新しい署名スキームEdwards - Curve Digital Signature Algorithm (EdDSA)が実装されています。これは、JDKの既存の署名スキームと比較していくつかの利点を持つ最新の楕円曲線署名スキームです。この新しい署名スキームはECDSAを置き換えません。『JEP 339: Edwards-Curve Digital Signature Algorithm (EdDSA)』を参照してください。
• SunJCEプロバイダは、SHA-3ベースのHmacアルゴリズムをサポートするようになりました。
• TLS署名スキームを構成するための新しいシステム・プロパティ
• certificate_authorities拡張機能のサポート

セキュリティ関連の変更の詳細は、リリース・ノートを参照してください。

次に、JDK 14での重要なセキュリティ・アップデートを示します:

• 信頼できるTLSサーバー証明書の完全一致が必要
• 信頼アンカー証明書の新規チェック

セキュリティ関連の変更の詳細は、リリース・ノートを参照してください。

JDK 13から次が削除されました:

• SunJSSEプロバイダからの実験的FIPS 140準拠モード
• 重複RSAサービスはSunJSSEプロバイダでサポートされなくなった

セキュリティ証明書の削除

JDK 13では、次のルート証明書がキーストアから削除されました:

• T-Systems Deutsche TelekomルートCA 2証明書
• 2つのDocuSignルートCA証明書
• 2つのComodoルートCA証明書

JDK 11およびJDK 12では、次のセキュリティ・アップデートが行われました:

JDK 11リリースには、TLS (Transport Layer Security) 1.3仕様(RFC 8446)の実装が含められました。

TLS 1.3はトランスポート層セキュリティ(TLS)プロトコルの最新のイテレーション(2018年8月)であり、JDK 11ではデフォルトで有効化されています。このバージョンでは、速度の向上に重点が置かれているだけでなく、最新の暗号化手法を重視してプロトコルのセキュリティ全体が更新されており、古いまたは脆弱な暗号化アルゴリズムは使用できません。(たとえば、RSAキー交換やプレーンなDSA署名は使用できなくなりました。)

TLS 1.3プロトコルには、下位互換性を向上させるための複数の機能が追加されていますが、いくつかの問題について留意しておく必要があります。詳細は、JEP 332を参照してください。

セキュリティ証明書の削除

JDK 12では、次のルート証明書がキーストアから削除されました:

• GTE CyberTrust Global Rootの削除

JDK 11では、次のルート証明書がトラストストアから削除されました:

• 複数のSymantecルートCA

• Baltimore Cybertrustコード署名証明書発行局

• SECOMルート証明書

• AOLおよびSwisscomルート証明書

削除された証明書を使用している製品は機能しなくなる可能性があります。これらの証明書が必要な場合は、無効になった証明書を使用してcacertsを構成し、移入する必要があります。トラストストアに証明書を追加するには、Java Development Kitツール仕様ガイドのkeytoolに関する項を参照してください。