NSS 3.18 release notes


NSSチームはマイナーリリースであるNetwork Security Services (NSS) 3.18をリリースしました。


HGタグはNSS_3_18_RTMです。NSS 3.18はNSPR 4.10.8またはそれより新しいバージョンを必要とします。

NSS 3.18のソースコードの配布物はftp.mozilla.orgまたは安全なHTTPSのダウンロードリンクから入手できます:

NSS 3.18で新しくなった点


  • When importing certificates and keys from a PKCS#12 source, it's now possible to override the nicknames, prior to importing them into the NSS database, using new API SEC_PKCS12DecoderRenameCertNicknames.
  • The tstclnt test utility program has new command-line options -C, -D, -b and -R.
    Use -C one, two or three times to print information about the certificates received from a server, and information about the locally found and trusted issuer certificates, to diagnose server side configuration issues. It is possible to run tstclnt without providing a database (-D). A PKCS#11 library that contains root CA certificates can be loaded by tstclnt, which may either be the nssckbi library provided by NSS (-b) or another compatible library (-R).


  • in certdb.h
    • SEC_CheckCrlTimes - Check the validity of a CRL at the given time.
    • SEC_GetCrlTimes - Extract the validity times from a CRL.
  • in p12.h
    • SEC_PKCS12DecoderRenameCertNicknames - call an application provided callback for each certificate found in a SEC_PKCS12DecoderContext.
  • in pk11pub.h
    • __PK11_SetCertificateNickname - this is an internal symbol for NSS use only, as with all exported NSS symbols that have a leading underscore '_'. Applications that use or depend on these symbols can and will break in future NSS releases.


  • in p12.h
    • SEC_PKCS12NicknameRenameCallback - a function pointer definition. An application that uses SEC_PKCS12DecoderRenameCertNicknames must implement a callback function that implements this function interface.

NSS 3.18での目立った変更点

  • 既定の状態で有効なTLSのプロトコルバージョンの最大値がTLS 1.0からTLS 1.2に引き上げられました。同様に、既定の状態で有効なDTLSのプロトコルバージョンの最大値もDTLS 1.0からDTLS 1.2に引き上げられました。
  • RSA鍵ペアを生成する際にcertutilが使う鍵の既定のサイズが1024ビットから2048ビットに引き上げられました。
  • Mac OS Xでは、OSにsqliteのライブラリのバージョン3.5またはそれ以上がインストールされている場合、既定の状態でsoftokn共有ライブラリにリンクされるようになりました。
  • 以下の認証局証明書について、コードとWebサイトの署名に対する信頼のビットが無効化されました。
    • OU = Equifax Secure Certificate Authority
      • SHA1 Fingerprint: D2:32:09:AD:23:D3:14:23:21:74:E4:0D:7F:9D:62:13:97:86:63:3A
    • CN = Equifax Secure Global eBusiness CA-1
      • SHA1 Fingerprint: 7E:78:4A:10:1C:82:65:CC:2D:E1:F1:6D:47:B4:40:CA:D9:0A:19:45
    • CN = TC TrustCenter Class 3 CA II
      • SHA1 Fingerprint: 80:25:EF:F4:6E:70:C8:D4:72:24:65:84:FE:40:3B:8A:8D:6A:DB:F5
  • 以下の認証局証明書が追加されました。
    • CN = Staat der Nederlanden Root CA - G3
      • SHA1 Fingerprint: D8:EB:6B:41:51:92:59:E0:F3:E7:85:00:C0:3D:B6:88:97:C9:EE:FC
    • CN = Staat der Nederlanden EV Root CA
      • SHA1 Fingerprint: 76:E2:7E:C1:4F:DB:82:C1:C0:A6:75:B5:05:BE:3D:29:B4:ED:DB:BB
    • CN = IdenTrust Commercial Root CA 1
      • SHA1 Fingerprint: DF:71:7E:AA:4A:D9:4E:C9:55:84:99:60:2D:48:DE:5F:BC:F0:3A:25
    • CN = IdenTrust Public Sector Root CA 1
      • SHA1 Fingerprint: BA:29:41:60:77:98:3F:F4:F3:EF:F2:31:05:3B:2E:EA:6D:4D:45:FD
    • CN = S-TRUST Universal Root CA
      • SHA1 Fingerprint: 1B:3D:11:14:EA:7A:0F:95:58:54:41:95:BF:6B:25:82:AB:40:CE:9A
    • CN = Entrust Root Certification Authority - G2
      • SHA1 Fingerprint: 8C:F4:27:FD:79:0C:3A:D1:66:06:8D:E8:1E:57:EF:BB:93:22:72:D4
    • CN = Entrust Root Certification Authority - EC1
      • SHA1 Fingerprint: 20:D8:06:40:DF:9B:25:F5:12:25:3A:11:EA:F7:59:8A:EB:14:B5:47
      • SHA1 Fingerprint: E2:B8:29:4B:55:84:AB:6B:58:C2:90:46:6C:AC:3F:B8:39:8F:84:83
  • ルート認証局リストのバージョン番号は2.3に更新されました。

NSS 3.18で修正されたバグ

NSS 3.18で修正されたバグの一覧を返すBugzillaのクエリは以下の通りです:



NSS 3.18共有ライブラリはすべての古いNSS 3.x共有ライブラリと後方互換性があります。古いNSS3.x共有ライブラリとリンクされたプログラムは、再コンパイルまたは再リンクなしでNSS 3.18と組み合わせて動作します。また、NSS公開関数に列挙された関数のみに限定してNSSのAPIを利用しているアプリケーションは、将来のバージョンのNSS共有ライブラリにおいても利用できます。


バグに遭遇した場合は、 bugzilla.mozilla.org に(プロダクトとしてNSSを選択して)バグレポートを登録して下さい。