Java 17.0.15

Java

Posted at 2025-06-20

以下は、Java SE 17.0.6（2023年1月リリース）と17.0.15（2025年4月リリース）の主な変更点を公式リリースノートからまとめたものです。セキュリティ強化、機能改善、非推奨化などが重点的に行われています。

⚠️ 1. セキュリティ関連の変更点

Camerfirmaルート証明書の信頼停止
- 2025年4月15日以降に発行され、特定のCamerfirmaルートCA（例: Chambers of Commerce Root - 2008）で署名されたTLSサーバー証明書は、デフォルトで信頼されなくなりました。影響を受ける証明書を使用する場合、TLS接続時に例外が発生します。
- 回避方法:
```
# 証明書チェーンの確認
keytool -v -list -alias <エイリアス名> -keystore <キーストアファイル>
```
  jdk.security.caDistrustPoliciesプロパティからCAMERFIRMA_TLSを削除することで元の信頼を復元可能。
複数の脆弱性修正
- 2025年4月のCPU（Critical Patch Update）として、CVE-2024-35195やCVE-2024-38357を含む50件以上の脆弱性に対処。リモートコード実行やサービス拒否（DoS）のリスクが軽減されています。

🔐 2. 暗号化/PKCS11関連の強化

SunPKCS11プロバイダーのレガシーメカニズムチェック改善
- 暗号化/復号のみをサポートするネイティブPKCS11メカニズムが、署名機能の不足により従来は完全に無効化されていました。17.0.15ではサービスタイプごとのチェックが導入され、暗号化機能は利用可能に（署名機能は依然無効）。allowLegacy=true設定で強制有効化も可能。
OCSP/証明書/CRL取得のタイムアウト設定強化
- 接続タイムアウト（com.sun.security.ocsp.timeout）に加え、読み取りタイムアウト（com.sun.security.ocsp.readtimeout）プロパティが追加。単位を秒（15s）またはミリ秒（15000ms）で指定可能。

✨ 3. 新機能とツール改善

jarsignerの検証機能強化
- 署名済みJARからファイルが削除されたが署名が残るケースを検出可能に。jarsigner -verify -verboseで不一致の詳細を出力。
IANAタイムゾーンデータ2025a
- パラグアイのタイムゾーン変更（-03固定化）、フィリピンの1991年以前のデータ改善などを反映。

⚙️ 4. その他の重要変更

内部APIの強力なカプセル化
- --illegal-accessオプションが完全削除され、内部APIへのアクセスには--add-opensの明示が必要に（Java 16から継続する方針）。
セキュリティマネージャの非推奨化
- 将来の削除に向け、引き続き非推奨ステータスが維持されています。
JarInputStreamの挙動変更
- 複数のMANIFEST.MFを含むJARは未署名扱いになり、警告が出力されます（デバッグモード時）。

📅 5. リリーススケジュールとサポート

17.0.15のサポート期限: 次のCPU（2025年7月15日予定）までが推奨使用期間。
OpenJDKディストリビューション:
- Red Hat Build of OpenJDK 17.0.15はFIPSモード自動検出をサポート。
- Eclipse TemurinはmacOS/Windows/Linux用バイナリを提供。

表: 影響を受けるCamerfirmaルート証明書の一覧

識別名 (Distinguished Name) SHA-256フィンガープリント

CN=Chambers of Commerce Root, OU=http://www.chambersign.org, O=AC Camerfirma SA... 0C:25:8A:12:A5:67:4A:EF:25:F2:8B:A7:DC:FA:EC:EE:A3:48:E5:41:E6:F5:CC:4E:E6:3B:71:B3:61:60:6A:C3

CN=Chambers of Commerce Root - 2008, O=AC Camerfirma S.A., SERIALNUMBER=A82743287... 06:3E:4A:FA:C4:91:DF:D3:32:F3:08:9B:85:42:E9:46:17:D8:93:D7:FE:94:4E:10:A7:93:7E:E2:9D:96:93:C0

CN=Global Chambersign Root - 2008, O=AC Camerfirma S.A., SERIALNUMBER=A82743287... 13:63:35:43:93:34:A7:69:80:16:A0:D3:24:DE:72:28:4E:07:9D:7B:52:20:BB:8F:BD:74:78:16:EE:BE:BA:CA

識別名 (Distinguished Name)	SHA-256フィンガープリント
`CN=Chambers of Commerce Root, OU=http://www.chambersign.org, O=AC Camerfirma SA...`	`0C:25:8A:12:A5:67:4A:EF:25:F2:8B:A7:DC:FA:EC:EE:A3:48:E5:41:E6:F5:CC:4E:E6:3B:71:B3:61:60:6A:C3`
`CN=Chambers of Commerce Root - 2008, O=AC Camerfirma S.A., SERIALNUMBER=A82743287...`	`06:3E:4A:FA:C4:91:DF:D3:32:F3:08:9B:85:42:E9:46:17:D8:93:D7:FE:94:4E:10:A7:93:7E:E2:9D:96:93:C0`
`CN=Global Chambersign Root - 2008, O=AC Camerfirma S.A., SERIALNUMBER=A82743287...`	`13:63:35:43:93:34:A7:69:80:16:A0:D3:24:DE:72:28:4E:07:9D:7B:52:20:BB:8F:BD:74:78:16:EE:BE:BA:CA`

💎 まとめと推奨アクション

主な差分: セキュリティポリシー（Camerfirma証明書）・脆弱性修正・PKCS11/jarsignerの機能改善が核心。
アップグレード時の注意点:
- TLS証明書チェーンの再検証（Camerfirma影響の有無）。
- 内部API使用箇所の--add-opens設定追加。
- 署名済みJARの検証プロセス見直し。
次のステップ:
Oracle JDK 17.0.15リリースノートまたは Red Hat OpenJDK 17.0.15ドキュメントで詳細を確認できます。

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up